7 meilleurs outils de chasse aux menaces pour 2022
Le terme ' chasse aux menaces » signifie rechercher dans un système informatique des activités malveillantes. Ces activités peuvent avoir lieu en ce moment ou avoir déjà eu lieu
Les systèmes de chasse aux menaces sont rarement vendus sous forme de packages autonomes. Il s’agit plutôt d’une technique utilisée dans le cadre de un service de cybersécurité .
Voici notre liste des sept meilleurs outils de chasse aux menaces :
- SolarWinds Security Event Manager CHOIX DE L'ÉDITEUR L'un des outils SIEM les plus compétitifs du marché avec une large gamme de fonctionnalités de gestion des journaux. Obtenez un essai gratuit de 30 jours.
- Point de terminaison VMWare Carbon Black Un EDR basé sur le cloud mais comprenant des collecteurs de données installés sur les appareils surveillés.
- Surveillance du faucon CrowdStrike Un centre d'opérations de sécurité complet fourni sur la base d'un abonnement qui comprend un système SaaS EDR, appelé Falcon Insight, ainsi que des techniciens pour exécuter le logiciel et l'analyse de sécurité pour la recherche manuelle des menaces.
- Trend Micro Géré XDR Un service d'abonnement qui propose une chasse aux menaces à la fois logicielle et humaine qui mettra automatiquement en œuvre des réponses pour mettre fin aux attaques.
- Cynet 360 Un système de cyberdéfense innovant basé sur le cloud qui détourne les intrus des actifs précieux grâce à un module de déception qui expose également les activités malveillantes à l'examen et à l'analyse.
- Exabeam Fusion Proposées aux formats SIEM et XDR, les deux options utilisent les mêmes routines de chasse aux menaces. Il s'agit d'une plateforme cloud.
- Rapid7 InsightIDR Un service SIEM et XDR qui peut être ajouté à d'autres services de la même plateforme cloud, comme un flux de renseignements sur les menaces.
Le chasseur de menaces est l’outil de recherche qui parcourt les données d’activité à la recherche de signes de comportement indésirable.
Les types de systèmes intégrant la recherche des menaces sont :
- Antivirus (Désactivé)
- Détection et réponse des points finaux (EDR)
- Détection et réponse étendues (XDR)
- Gestion des informations et des événements de sécurité (SIEM)
- Systèmes de détection d'intrusion (IDS)
- Systèmes de prévention des intrusions (IPS)
- Intelligence sur les cybermenaces (CTI)
Vous remarquerez que les pare-feu ne sont pas inclus dans la liste. Bien que les pare-feux analysent le trafic, leurs activités ne sont généralement pas classées comme une chasse aux menaces. Un pare-feu filtre le trafic.
Stratégies de chasse aux menaces
Les systèmes de chasse aux menaces examinent les données du système pour indicateurs d'attaque ou un comportement inhabituel. La source de ces données est généralement constituée de données de performances capturées et de messages de journal. La chasse aux menaces peut être effectuée sur un appareil, mais elle est plus efficace si toutes les données d'activité de tous les appareils d'un réseau sont des soirées dans un endroit central. Cela permet au chasseur de menaces de rechercher les activités malveillantes qui circulent entre les appareils afin que le système de cybersécurité puisse détecter et bloquer une attaque qui se propage.
Les menaces pourraient être mises en œuvre sous la forme de logiciel ou activité manuelle par un particulier. Dans presque tous les cas, l’activité malveillante sera réalisée au sein d’un compte utilisateur autorisé.
Si un étranger utilise un compte valide, cela sera dû à un rachat de compte . Cela peut se produire en raison d’une sécurité faible sous la forme de mots de passe craquables. Les pirates peuvent également obtenir des informations d’identification de compte en incitant les utilisateurs à les divulguer.
Si l’acteur malveillant est un membre du personnel, l’utilisateur concerné peut avoir été trompé ou menacé pour qu’il agisse au nom d’un tiers. UN employé mécontent pourrait vouloir nuire à l’entreprise en volant ou en divulguant des données sensibles ou en vendant des données pour obtenir un gain financier.
Bien que le logiciel soit généralement impliqué dans un événement malveillant, il ne s’agit pas toujours de logiciels malveillants ou de systèmes non autorisés installés par un pirate informatique. Le Applications autorisées que vous avez installé pour être utilisé par les employés de l’entreprise peuvent traiter et déplacer des données et ils peuvent également servir des internes malveillants et des intrus.
Chasse aux menaces automatisée et manuelle
Les processus de chasse aux menaces sont intégrés aux logiciels de cybersécurité. Toutefois, la chasse aux menaces peut être une activité humaine aussi. Un visualiseur de données doté de fonctions de recherche et de tri permet à un spécialiste de la cybersécurité d'analyser les données et de mener des enquêtes sur une éventuelle utilisation abusive des données.
Même si un gestionnaire système peut remarquer quelque chose d'étrange dans l'activité du compte utilisateur et souhaiter enquêter plus en profondeur, la chasse aux menaces est le plus souvent une activité menée par des professionnels dédiés. Peu d’entreprises sont suffisamment grandes pour pouvoir se permettre de retenir un personnel qualifié. spécialiste de la cybersécurité parmi le personnel, ces experts sont donc plus susceptibles de travailler pour des cabinets de conseil et de s'impliquer dans les données d'une entreprise cliente lorsqu'ils sont appelés pour trier une situation d'urgence .
Les entreprises peuvent créer un contrat continu pour des services de conseil en s'inscrivant à un package de sécurité géré , qui comprend à la fois le logiciel de protection et les services d'experts en cybersécurité pour analyser les données en cas d'anomalies que le logiciel ne peut catégoriser.
Les meilleurs outils de chasse aux menaces
Le domaine de la chasse aux menaces offre une gamme de configurations et englobe des progiciels sur site, des plates-formes SaaS et des services gérés. En recherchant de bons exemples de systèmes de chasse aux menaces Pour recommander, nous devons être conscients que différentes tailles et types d’entreprises auront des besoins différents. Par conséquent, il est impossible de recommander un seul forfait qui puisse être facilement identifié comme la meilleure option disponible.
Que devez-vous rechercher dans un outil de chasse aux menaces ?
Nous avons examiné le marché des systèmes de cybersécurité intégrant des processus de chasse aux menaces et analysé les options disponibles en fonction des critères suivants :
- Un service de collecte de données pour transmettre des informations sur les événements au chasseur de menaces
- Agrégation de données pour normaliser le format des enregistrements d'événements
- Options d'analyse manuelle
- Paramètres de réponse automatisée
- Détection des menaces gouvernementales par une politique de sécurité
- Un essai gratuit ou un système de démonstration pour évaluer le système avant de payer
- Un bon rapport qualité-prix, assuré par une protection de sécurité complète à un prix approprié
En gardant ces critères à l’esprit, nous avons identifié des outils de cybersécurité fiables qui incluent d’excellentes procédures de chasse aux menaces. Nous nous sommes assurés d'inclure des options de services sur site, SaaS et gérés.
1. Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)
Gestionnaire d’événements de sécurité SolarWinds est la meilleure option pour les gestionnaires de système qui souhaitent tout garder en interne. Le package s'exécute sur votre serveur et explore tous les autres points de terminaison du réseau. Ce système fonctionne sur des données de performance du réseau en direct, tirées de sources telles que le Protocole de gestion de réseau simple (SNMP) ainsi que les messages de journal.
Principales caractéristiques:
- Collecteurs de fichiers journaux
- Sur site
- Gestionnaire de données sensibles
- Audit de conformité
- Chasse aux menaces basée sur les signatures
Le forfait comprend connecteurs qui s'interfacent avec les applications et extraient les données d'événements. Le système comprend également un moniteur d'intégrité des fichiers qui enregistre l'accès aux fichiers et les modifications apportées à leur contenu. C'est un gestionnaire de données sensibles qui supervise les fichiers et dossiers nominés.
Les lectures de performances et les messages de journal sont ensuite convertis dans un format commun, appelé « consolidation ». L’outil présente ces enregistrements au module de chasse aux menaces pour analyse.
Les activités malveillantes que le chasseur de menaces les détections peuvent être arrêtées immédiatement. Ce chasseur de menaces est un service basé sur les signatures qui recherche des indicateurs d'attaque. Le système comprend une liste de réponses, appelées règles de corrélation . Ceux-ci spécifient une action à entreprendre si une menace est détectée. Ces actions peuvent bloquer le trafic depuis et vers une adresse IP spécifique, suspendre un compte utilisateur, arrêter un processus et supprimer un fichier.
Avantages:
- Agit comme un SIEM
- Gère les fichiers journaux
- Implémente des réponses automatisées
- Alertes en cas d'activité suspecte
- Utilise les données du réseau en direct ainsi que les journaux
Les inconvénients:
- Pas de version cloud
SolarWinds Security Event Manager s’installe sur Serveur Windows et il est disponible pourun essai gratuit de 30 jours.
LE CHOIX DES ÉDITEURS
Gestionnaire d’événements de sécurité SolarWindsest notre premier choix pour un package de chasse aux menaces car il vous permet de garder le contrôle total de vos services informatiques. De nombreux responsables de systèmes informatiques ne sont toujours pas à l'aise avec la prédominance des systèmes basés sur le cloud, car cette stratégie réduit le contrôle, offre des voies supplémentaires aux intrus et nécessite que certains détails sur l'entreprise soient conservés sur un serveur externe.
Télécharger:Obtenez un essai gratuit de 30 jours
Site officiel:https://www.solarwinds.com/security-event-manager/registration
TOI:Serveur Windows
2. Point de terminaison VMware Carbon Black
Point de terminaison VMware Carbon Black protège plusieurs points de terminaison. Chaque point de terminaison inscrit est doté d'un agent installé et cette unité communique avec le processeur de données Carbon Black basé sur le cloud.
Principales caractéristiques:
- Flux de renseignements sur les menaces
- Détection d'une anomalie
- MONTER
- Chasse rapide aux menaces
Un agent réseau communique également avec des outils de sécurité tiers dans le cadre d'une technique appelée orchestration, automatisation et réponse de la sécurité (MONTER). Le système SOAR collecte des informations provenant d'outils de sécurité tiers, tels que des pare-feu, et les ajoute au pool d'informations collectées dans le cloud.
Le chasse aux menaces Le module du package Carbon Black s'appelle Sécurité prédictive du cloud , qui se distingue par sa capacité à effectuer des recherches très rapidement dans de grandes collections de données. La détection d’une menace déclenche instructions de réponse qui sont envoyés aux agents de l'appareil ainsi qu'aux outils tiers inscrits dans le système SOAR.
Avantages:
- Échange de menaces mutuelles entre clients
- Conseils pour le durcissement du système
- Réponses automatisées
- Protéger plusieurs sites
Les inconvénients:
- N'inclut pas de gestionnaire de journaux
Le Forfait SaaS met en œuvre la recherche des menaces par client, puis regroupe toutes les données découvertes pour une recherche centrale pour tous les clients. Cette chasse aux menaces centrale fournit renseignement sur les menaces sur les campagnes de piratage et avertit les clients avant l'attaque. Vous pouvez demander une démo du système VMWare Carbon Black Endpoint.
3. Surveillance du faucon CrowdStrike
Faucon CrowdStrike est une plateforme cloud d'outils de sécurité qui incluent un EDR, appelé Aperçu , Et un XDR . L'EDR se coordonne avec les systèmes CrowdStrike sur l'appareil et le XDR ajoute SOAR.
Principales caractéristiques:
- Basé sur les anomalies
- Chasse aux menaces locales
- Chasse aux menaces consolidée basée sur le cloud
Le seul produit de CrowdStrike qui s'exécute sur les points finaux est un package antivirus de nouvelle génération, appelé Faucon Empêcher . Cela effectue son propre chasse aux menaces et met en œuvre des réponses de défense. Si l'acheteur de Falcon Prevent s'est également abonné à l'un des systèmes basés sur le cloud, l'AV fait office de un agent à cela.
Falcon Insight et Falcon XDR fonctionnent tous deux chasse aux menaces dans le cloud sur le pool de données téléchargées à partir de tous les points de terminaison inscrits au plan. Ce processus de chasse aux menaces peut être amélioré grâce à un flux de renseignements sur les menaces, appelé Faucon Intelligence .
Une entreprise qui ne souhaite pas avoir un expert en sécurité parmi son personnel perdrait les avantages de chasse manuelle aux menaces et une analyse de sécurité experte. CrowdStrike répond à ce besoin avec le Surveillance emballer. Il s'agit d'un centre d'opérations de sécurité complet qui assure la détection des menaces et la gestion des réponses à l'échelle du système pour les clients abonnés. Il s'agit du package Falcon XDR SaaS avec des analystes de sécurité ajoutés.
Avantages:
- Option pour un service géré
- Flux de renseignements sur les menaces
- MONTER
Les inconvénients:
- De nombreuses options peuvent prendre du temps à évaluer
Le plan Overwatch comprend une installation de Falcon Prevent sur chaque point final. Tu peux recevoir un essai gratuit de 15 jours de CrowdStrike Falcon Prevent.
4. XDR géré par Trend Micro
Trend Micro Géré XDR est un plan SOC à louer qui ajoute les services de spécialistes de la sécurité au Tendance Micro Vision One package de sécurité du système. Vision One est un SaaS XDR avec des agents sur l'appareil et SOAR, s'appuyant sur des outils de sécurité tiers.
Principales caractéristiques:
- Chasse aux menaces à plusieurs niveaux
- Analystes de sécurité
- MONTER
Le service Vision One est un coordinateur cloud des antivirus résidents des points de terminaison Trend Micro sur les appareils qui effectuent leur propre recherche de menaces localement. Ces unités téléchargent les données d'activité sur le serveur Trend Micro pour chasse aux menaces à l'échelle de l'entreprise . Le système de détection des menaces de Trend Micro s'appelle Informations sur les risques Zero Trust . Il recherche les accès anormaux aux applications, identifiant les menaces internes et les intrusions.
Le service géré comprend des systèmes automatisés et des analystes experts. Chasse manuelle aux menaces réduit les inconvénients liés au blocage de tâches légitimes peu fréquentes par des processus EDR automatisés. L’analyse peut également produire des recommandations pour le renforcement du système.
Avantages:
- Convient aux entreprises qui n’ont pas d’experts en sécurité parmi leurs salariés
- Peut gérer la sécurité de plusieurs sites
- Rapports de conformité
Les inconvénients:
- Plus cher que les options autogérées
Vous pouvez accéder à un système de démonstration, appelé le Essai routier Vision One .
5. Plateforme Cynet 360 AutoXDR
Plateforme Cynet 360 AutoXDR inclut une couche de chasse aux menaces qui rassemble des informations sur les activités malveillantes à partir d'outils tiers sur site. Cette plateforme est résident dans le cloud et il fournit plusieurs utilitaires pour aider les systèmes automatisés sur site à détecter les menaces.
Principales caractéristiques:
- Basé sur le cloud
- Collecteurs de données locaux
- Techniques de tromperie
Les services d'identification des menaces de Cynet 360 incluent bac à sable et un pot de miel système qui fournit un faux teaser aux pirates informatiques, les attirant vers une unité d’analyse.
En plus de sa propre structure de laboratoire de recherche, le Protection autonome contre les violations Le système de Cynet 360 rassemble des informations locales via des agents dans un réseau appelé Fusion de capteurs . Le processus de chasse aux menaces se déploie analyse du comportement des utilisateurs et des entités (UEBA) pour évaluer l'intention du trafic professionnel régulier autour du réseau et bloquer les activités malveillantes via SOAR.
Avantages:
- Recherche de menaces basée sur les anomalies avec l'UEBA pour la référence
- MONTER
- Analyse médico-légale de la mémoire
Les inconvénients:
- Pas de gestionnaire de journaux
Offres Cynet un essai gratuit de 14 jours de la plateforme AutoXDR.
6. Exabeam Fusion
Exabeam Fusion est une plateforme cloud avec des agents sur site qui implémente détection, enquête et réponse aux menaces (TDIR). Le package peut fonctionner comme un XDR ou un SIEM. L'outil exploite les données sources de ses agents sur site pour alimenter le détection des menaces module qui fonctionne dans le cloud.
Principales caractéristiques:
- Chasse aux menaces basée sur les anomalies
- UEBA
- Rapports de conformité
Le service de chasse aux menaces Exabeam Fusion utilise la détection des anomalies, qui s'appuie sur UEBA pour la référence des activités. Le service peut être adapté aux exigences spécifiques des normes de protection des données et générera également automatiquement des rapports de conformité.
Le système s'appuie sur informations de journalisation pour les données sources et il peut s'interfacer directement avec une liste de progiciels via une bibliothèque de connecteurs . Le service consolidera et stockera également les journaux pour l’analyse manuelle de la chasse aux menaces et l’audit de conformité.
Avantages:
- Recueille les données d'activité des applications
- Examine les fichiers journaux des systèmes d'exploitation
- Gestion des journaux
Les inconvénients:
- Les points de terminaison ne sont pas protégés s'ils sont déconnectés du réseau
Vous pouvez évaluer Exabeam Fusion avec une démo .
7. Rapid7 InsightIDR
Rapid7 est une plateforme cloud de modules de cybersécurité. Vous sélectionnez les services que vous souhaitez dans le menu des options et ces packages s'emboîtent. Le système cloud s'appelle Aperçu Rapid7 et le package XDR sur cette plate-forme s'appelle AperçuIDR – IDR signifie « détection et réponse aux incidents » et il peut également être utilisé comme SIEM de nouvelle génération.
Principales caractéristiques:
- SIEM
- Renseignements sur les menaces
- Basé sur les anomalies et les signatures
Le service InsightIDR nécessite que les agents soient installés sur les points de terminaison protégés. Les journaux téléchargés et collectés par ces agents fournissent le matériel source pour SIEM recherche et ils seront également stockés dans des fichiers journaux pour la recherche manuelle des menaces et l’audit de conformité.
Rapid7 fournit un flux de renseignements sur les menaces au service de chasse aux menaces, appelé le Analyse du comportement des attaques (ABA). Ce système ABA est basé sur les signatures, mais il interagit avec les recherches UEBA basées sur les anomalies pour fournir une stratégie mixte de chasse aux menaces.
Avantages:
- Chasse rapide des menaces, grâce à un tri éclairé par les renseignements sur les menaces
- Utilise l'UEBA
- Réponses automatisées
Les inconvénients:
- SOAR coûte plus cher
Un autre package disponible sur la plateforme Insight est Connexion Insight , qui étend les capacités d'InsightIDR en ajoutant MONTER connecteurs.
Vous pouvez évaluer Rapid7 InsightIDR avec un essai gratuit de 30 jours .