9 meilleures plateformes de renseignements sur les menaces (TIP)
UNPlateforme de renseignement sur les menaces (TIP)vise à bloquer les attaquants répétés et à identifier les vecteurs d’intrusion courants. Cette technologie émergente constitue une avancée par rapport aux systèmes antivirus (AV) et pare-feu traditionnels. Un CONSEILprotégez votre équipement informatique en appliquant des stratégies d’apprentissage basées sur l’IA.
Un certain nombre de technologies de remplacement ont vu le jour ces dernières années pour améliorer la protection des entreprises offerte par les systèmes malveillants traditionnels.
Les programmes anti-malware comparent le code des nouveaux programmes exécutés sur un ordinateur à une base de données de signatures de logiciels malveillants précédemment détectées.
Voici notre liste des neuf meilleures plateformes de renseignement sur les menaces :
- SolarWinds Security Event Manager CHOIX DE L'ÉDITEUR Utilise une stratégie de détection des menaces par analyse de fichiers journaux combinée à un flux en direct d'alertes de menace provenant de sources externes.
- ManageEngine Log360 (ESSAI GRATUIT) Recherche les menaces dans les données des fichiers journaux de Windows Server ou Linux et ajoute des informations sur les menaces provenant de trois sources.
- CrowdStrike Falcon Intelligence (ESSAI GRATUIT)Une gamme de niveaux de protection contre les menaces avec des processus automatisés et des options plus élevées incluant la recherche et l’intervention humaine.
- Datadog Threat Intelligence (ESSAI GRATUIT) Des flux de renseignements sur les menaces clés en main, organisés par certains partenaires de renseignements sur les menaces en tant que SIEM cloud. Les flux de données sont continuellement mis à jour sur les activités suspectes à mesure qu'elles sont connues et disponibles.
- DehorsUn moniteur système conçu pour les MSP qui inclut l'audit des logiciels et l'analyse des journaux.
- Plateforme de sécurité FireEye Helix Combine une console de détection des menaces SIEM basée sur le cloud, des méthodes d'apprentissage de l'IA et un flux de renseignements sur les menaces.
- Moniteur de menaces N-able Un service basé sur le cloud commercialisé auprès des MSP. Il s'agit d'un outil SIEM qui permet aux MSP d'ajouter une surveillance de sécurité à leur liste de services.
- Gestion unifiée de la sécurité AlienVault Comprend la détection des menaces, la réponse aux incidents et le partage de renseignements sur les menaces.
- SIEM LogRhythm NextGen Comprend la surveillance en direct des données de trafic et l'analyse des enregistrements des fichiers journaux.
Plateformes de Threat Intelligence vs logiciels antivirus traditionnels
Dans le modèle anti-malware traditionnel, un laboratoire de recherche central étudie les nouvelles menaces pour en dériver des modèles qui les identifient. Ces caractéristiques de détection de logiciels malveillants sont ensuite distribuées à tous les programmes antivirus installés que l'entreprise a vendus à ses clients. Le système anti-malware local gère une base de données sur les menaces qui contient cette liste de signatures d'attaque dérivée par le laboratoire central.
Le modèle de base de données des menaces antivirus n’est plus efficace pour protéger les ordinateurs. En effet, des équipes professionnelles de pirates informatiques s’engagent désormais dans des chaînes de production de logiciels malveillants et de nouvelles menaces apparaissent quotidiennement. Comme il faut du temps aux laboratoires de recherche pour détecter un nouveau virus et identifier ses caractéristiques, le délai de mise en œuvre des solutions antivirus classiques est désormais trop long pour offrir une protection efficace aux entreprises.
Repérer une menace
Une plateforme de renseignement sur les menaces comprend toujours une base de données sur les menaces. Cependant, plutôt que de compter sur les utilisateurs signalant un comportement étrange au siège du producteur audiovisuel, les nouveaux systèmes de cybersécurité visent à contenir toutes les recherches et mesures correctives contre les menaces sur l’équipement de chaque client. En effet, chaque installation TIP devient un ensemble composite de détection, d'analyse et de résolution. Il n’est plus nécessaire de mettre à jour la base de données des menaces depuis un laboratoire central car chaque machine effectue le travail de l’équipe de chercheurs.
Ce modèle distribué de collecte de données audiovisuelles est bien plus efficace pour lutter contre les attaques « jour zéro ». Le terme « jour zéro » fait référence à de nouveaux virus qui n’ont pas encore été identifiés par les principaux laboratoires audiovisuels du monde et contre lesquels il n’existe pas encore de défense efficace. Mais chaque machine ne fonctionne pas seule. Les informations sur les nouvelles menaces découvertes sont partagées entre les utilisateurs d'une marque spécifique de TIP.
Le TIP utilise procédures de détection localement tout en s’appuyant sur une base de données sur les menaces, alimentée par des analyses locales ainsi que par des téléchargements fréquents depuis les laboratoires du fournisseur de logiciels. Ces téléchargements sont issus des découvertes faites par le même TIP installé sur d'autres sites par d'autres clients.
Les meilleurs fournisseurs de plateformes, d’outils et de logiciels de Threat Intelligence
Bien que chaque TIP utilise un ensemble similaire de stratégies pour détecter les événements malveillants, tous les conseils ne sont pas aussi efficaces . Certains fournisseurs de sécurité se concentrent sur un type spécifique d’appareil et un système d’exploitation spécifique. Ils peuvent également fournir des systèmes de protection pour d’autres types d’appareils et de systèmes d’exploitation, mais sans le même niveau de succès qu’ils ont obtenu avec leur produit principal.
Il n’est pas facile de repérer un bon TIP et les affirmations, les vantardises et le jargon obscur de l’industrie utilisés sur les sites Web promotionnels de leurs producteurs font de la recherche du bon TIP un exercice très fatiguant.
Notre méthodologie de sélection d'une plateforme de renseignement sur les menaces
Nous avons examiné le marché des systèmes de détection de renseignements sur les menaces et analysé les outils en fonction des critères suivants :
- Machine Learning pour une base d’activité normale
- Détection d'activité anormale
- Des flux de renseignements sur les menaces qui adaptent les routines de détection
- Alertes en cas d'activité suspecte pour attirer les techniciens
- Partage d’expériences et résumés des notifications de menaces à l’échelle du secteur
- Une démo ou un essai gratuit pour une opportunité d'évaluation sans risque
- Bon rapport qualité-prix grâce à un flux complet de renseignements sur les menaces à un prix équitable
Heureusement, nous avons fait les démarches pour vous. En gardant ces critères de sélection à l’esprit, nous avons identifié des services de sécurité réseau dotés de flux de renseignements sur les menaces que nous sommes heureux de recommander.
1. Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)
Gestionnaire d'événements de sécurité (SEM) de SolarWinds combine suivi des événements sur votre réseau avec un flux de renseignements sur les menaces alimenté par une source externe. Cet outil détectera non seulement les menaces, mais déclenchera automatiquement des réponses pour protéger votre système.
Principales caractéristiques
- UN VOUS
- Actions correctives automatisées
- Crée un stockage sur site de renseignements sur les menaces
- Fonctionne sur Windows Server
- Rapports de conformité
Au cœur de cette solution de sécurité, vous retrouverez un outil d'analyse de logs . Celui-ci surveille l'activité du réseau, recherche des événements inhabituels et suit également les modifications apportées aux fichiers essentiels. Le deuxième élément de ce TIP de SolarWinds est un cadre de renseignement sur les cybermenaces .
Security Event Manager fonctionne à partir d'une base de données d'événements suspects connus et détecte le réseau à la recherche de telles occurrences. Certaines activités suspectes ne peuvent être repérées qu'en combinant des données provenant de sources distinctes sur votre système. Cette analyse ne peut être effectuée que via l'analyse du journal des événements et ne constitue donc pas une tâche en temps réel.
Bien que SEM commence par une base de données de signatures de menaces prête à l'emploi, l'outil ajustera et étendra ce magasin de profils de menaces pendant qu'il est en service. Ce processus d’apprentissage réduit l’apparition ennuyeuse de « faux positifs », ce qui peut amener certains services de protection contre les menaces à arrêter les activités légitimes.
L'analyseur de journaux de SEM rassemble en permanence les enregistrements de journaux provenant de sources incompatibles et les reformate dans une présentation neuronale commune. Cela permet à l'analyseur de rechercher modèles d'activité sur l’ensemble de votre système, quels que soient la configuration, le type d’équipement ou le système d’exploitation.
Avantages:
- SIEM axé sur l'entreprise avec une large gamme d'intégrations
- Filtrage simple des journaux, pas besoin d'apprendre un langage de requête personnalisé
- Des dizaines de modèles permettent aux administrateurs de commencer à utiliser SEM avec peu de configuration ou de personnalisation
- L'outil d'analyse historique permet de détecter les comportements anormaux et les valeurs aberrantes sur le réseau.
Les inconvénients:
- SEM est un produit SIEM avancé conçu pour les professionnels, nécessite du temps pour apprendre pleinement la plateforme
Gestionnaire d'événements de sécurités'installe sur Serveur Windows et SolarWinds propose le système sur un30 jours d'essai gratuit. Cette période d’essai vous donnera le temps d’essayer les écrans de définition manuelle des règles qui vous permettront d’améliorer la base de données exploitable de renseignements sur les menaces afin de refléter plus précisément les activités typiques de votre site. Vous pourrez également effectuer une exécution complète du module de reporting de conformité pour vous assurer que le SEM répond à tous vos besoins en matière de reporting.
LE CHOIX DES ÉDITEURS
Gestionnaire d’événements de sécurité SolarWindsest notre premier choix. Parfait pour détecter les menaces et déclencher des réponses automatisées à ces menaces. Les rapports sont de premier ordre et le tableau de bord est facile à naviguer.
Commencez l'essai gratuit de 30 jours :solarwinds.com/security-event-manager
TOI:Windows 10 et versions ultérieures, Windows Server 2012 et versions ultérieures, basé sur le cloud : hyperviseur, AWS et MS Azure
2. ManageEngine Log360 (ESSAI GRATUIT)
Gérer le moteur Log360est un CONSEIL très complet qui étudie toutes les sources possibles de données de journalisation pour renforcer la sécurité du système.
ManageEngine propose déjà une gamme d'outils de gestion et d'analyse des journaux. Cependant, la société a décidé de les regrouper dans un module combiné qui couvre toutes les sources possibles d'informations système basées sur des fichiers. L'informatique intègre également des sources d'informations externes telles que STIX/TAXII - flux basés sur des adresses IP sur liste noire.
Principales caractéristiques
- Gestion et analyse des journaux
- Réceptif aux flux de renseignements sur les menaces STIX/TAXII
- Protège Active Directory
- Fonctionne sur Windows Server
En plus de contrôler Journaux d'événements , l'outil intègre les informations résidant dans Active Directory . Cela aide le moteur de détection de cet outil à vérifier qui a les droits d'accès aux ressources utilisées dans les activités qui enregistrent les messages. L'outil surveille les modifications dans Active Directory pour garantir que les intrus ne peuvent pas s'accorder des droits d'accès.
La portée de cet outil de sécurité s'étend au Web car il rassemble également des rapports d'audit de AWS , Azur , et Échange en ligne .
Vous savez qu'Exchange, Azure, les journaux d'événements et Active Directory sont tous des produits Microsoft. Cependant, Log360 ne se limite pas à la surveillance des systèmes Windows. Il rassemble également les messages de journal générés sur Linux et Unix systèmes, tels que les messages Syslog. L'outil examinera tous les messages IIS et Apache Web Server et couvre les messages générés par Oracle bases de données.
Votre matériel réseau et vos systèmes de sécurité périmétrique ont également des informations importantes à partager et Log360 écoute donc les messages de journal provenant des pare-feu, des routeurs et des commutateurs. Si vous avez installé d’autres systèmes de détection et de protection contre les intrusions, Log360 intégrera leurs résultats dans ses résumés de renseignements sur les menaces.
Log360 ne crée pas de journaux sur les journaux, que vous pourriez finir par ignorer. Le système crée alertes de renseignements sur les menaces en temps réel , afin que votre équipe soit avertie dès qu'une activité suspecte est détectée. En plus de la surveillance, le package Log360 audite, résume et rend régulièrement compte de la sécurité de l'ensemble de votre système informatique.
Avantages:
- Excellentes visualisations de tableaux de bord, idéales pour les CNO et les MSP
- Peut intégrer plusieurs flux de données sur les menaces dans la plateforme
- Offre une recherche robuste dans les journaux pour l'analyse des événements en direct et historiques
- Fournit une surveillance multiplateforme pour les systèmes Windows, Linux et Unix
- Peut surveiller les changements de configuration, empêchant l’élévation des privilèges
Les inconvénients:
- ManageEngine propose une suite de services et de fonctionnalités avancés que vous pouvez explorer et tester
Vous pouvez installer le logiciel Log360 sur les fenêtres et Serveur Windows . Offres ManageEngineun essai gratuit de 30 joursde laEdition ProfessionnelleIl y a unÉdition gratuitecela se limite à collecter des données de journal à partir de seulement cinq sources. Si vous avez des exigences différentes, vous pouvezdiscuter des prixpour un forfait adapté à vos besoins.
ManageEngine Log360 Téléchargez un essai GRATUIT de 30 jours
3. CrowdStrike Falcon Intelligence (ESSAI GRATUIT)
Grève de foulecréé une plateforme de cybersécurité appelée Falcon . Cela se concentre sur la protection des points finaux. L'un des produits que l'entreprise a construit sur sa plate-forme Falcon estCrowdStrike Falcon Intelligence. Il s'agit d'un service de renseignement sur les menaces qui base la plupart des exigences de traitement sur le serveur CrowdStrike dans le cloud.
Principales caractéristiques
- Plans de renseignement sur les menaces
- Disponible sous forme de rapport ou de flux
- Inclus dans un bundle avec d'autres outils de sécurité
L'architecture innovante de la plateforme Falcon nécessite un petit programme d'agent à installer sur chaque appareil protégé. La majorité du travail est effectuée dans le cloud, votre protection contre les menaces ne ralentira donc pas vos points de terminaison protégés.
Le plan de base de Falcon Intelligence comprend processus automatisés . Le prochain plan s'appelle Faucon Intelligence Premium et cela comprend un rapport de renseignement quotidien exploitable et des balayages Internet personnalisés qui recherchent spécifiquement le nom, la marque ou les mentions des employés de votre entreprise sur les réseaux sociaux ou sur les sites de collage. Par exemple, tous les mots de passe volés destinés à la vente ou divulgués publiquement seraient récupérés dans cette recherche.
Le plan le plus élevé s'appelle Élite du renseignement Falcon . Chaque client de ce plan se voit attribuer un analyste Intel. Ce service est idéal pour les entreprises qui souhaitent tout externaliser et obtenir une solution gérée de renseignements sur les menaces plutôt que de simples outils de protection automatisés.
Tous les plans Falcon Intelligence incluent le Indicateurs de compromis (CIO). Cela place les menaces identifiées sur votre système dans un contexte global. L'IOC indique l'origine des logiciels malveillants ou des attaques dont vous êtes victime et si les mêmes groupes de pirates informatiques utilisent d'autres méthodes pour attaquer les systèmes de l'entreprise. Cette relation entre vecteurs connus alerte l’entreprise abonnée des menaces potentielles à venir.
Les agents opérant sur chaque point de terminaison analysent toutes les activités sur l'appareil et téléchargent les fichiers suspects sur le serveur CrowdStrike pour analyse. Il y a pas besoin d'intervention humaine dans ce processus. Cependant, le gestionnaire du système recevra un retour sur les menaces détectées et les actions mises en œuvre pour les fermer.
Avantages:
- Ne s'appuie pas uniquement sur les fichiers journaux pour détecter les menaces, utilise l'analyse des processus pour détecter immédiatement les menaces.
- Agit comme un outil HIDS et de protection des points finaux tout en un
- Peut suivre et alerter un comportement anormal au fil du temps, s'améliore plus il surveille le réseau
- Peut être installé sur site ou directement dans une architecture basée sur le cloud
- Les agents légers ne ralentiront pas les serveurs ou les appareils des utilisateurs finaux
Les inconvénients:
- Bénéficierait d’une période d’essai plus longue
CrowdStrike propose un essai gratuit de 15 jours de Falcon Intelligence.
CrowdStrike Falcon Intelligence démarre un essai GRATUIT de 15 jours
4. Datadog Threat Intelligence (ESSAI GRATUIT)
Informations sur les menaces Datadog est proposé depuis le cloud Datadog Plateforme SaaS qui comprend une gamme de services d'abonnement pour la surveillance du système. Le système nécessite l'installation d'agents sur les réseaux surveillés et peut également inclure des ressources cloud avec l'activation d'une intégration.
Le Datadog agents peuvent également servir de collecteurs de données pour d’autres services Datadog en combinaison. Ces agents locaux téléchargent les messages de journal et d'autres données système sur le serveur Datadog où a lieu la recherche des menaces.
Principales caractéristiques
- Système SIEM
- Centralise la sécurité de plusieurs sites
- Utilise l'UEBA
Le système UEBA de Datadog Threat Intelligence est un analyse du comportement des utilisateurs et des entités système. C'est un Basé sur l'IA système qui utilise l’apprentissage automatique pour établir une base d’activité normale. Les écarts par rapport à cette tendance identifient les activités qui nécessitent un examen plus approfondi.
Le chasseur de menaces recherche des modèles de comportement, appelés Indicateurs de compromis (IoC). La base de données IoC est dérivée des expériences de tous les clients de Datadog, créant ainsi un pool de renseignements sur les menaces.
Datadog utilise une méthode appelée MONTER pour interagir avec les packages fournis par d’autres fournisseurs. Cela représente orchestration, automatisation et réponse de la sécurité . Cela signifie que les agents peuvent collecter des données d'exploitation provenant de systèmes tels que des gestionnaires de droits d'accès, des commutateurs et des pare-feu. Dans l’autre sens, le serveur peut envoyer des instructions à ces périphériques réseau clés pour arrêter les intrusions ou éliminer les logiciels malveillants.
Les fonctionnalités SOAR et UEBA de Datadog Threat Intelligence signifient que vous n'avez pas besoin de supprimer complètement l'intégralité de votre configuration de protection de sécurité actuelle. Le système Datadog s'ajoutera à vos services existants et renforcera leurs capacités de protection.
Informations sur les menaces Datadog comprend des services supplémentaires qui pourraient intéresser les développeurs et les départements DevOps. Ceux-ci incluent un profileur de code et des systèmes de tests continus pour les pipelines CI/CD.
Avantages:
- S'intègre à d'autres services Datadog
- Implémente SIEM
- Centralise la surveillance de nombreux sites et ressources cloud
- Console basée sur le Web
Les inconvénients:
- Les systèmes protégés nécessitent une disponibilité Internet constante
Datadog Threat Intelligence, comme toutes les unités Datadog, est un service d'abonnement . Vous payez un tarif mensuel pour chaque Go de données de journal traitées par le service. Datadog propose tous ses modules avec un essai gratuit de 14 jours.
Datadog Threat Intelligence Commencez un essai GRATUIT de 14 jours
5. Retirez-le
Dehors est une plateforme d'assistance conçue pour fournisseurs de services gérés (MSP) . C'est livré depuis le cloud , le MSP n'a donc pas besoin d'installer de logiciel dans ses locaux et n'a même pas besoin d'exploiter une infrastructure informatique majeure. Tout ce dont il a besoin est un ordinateur avec une connexion Internet et un navigateur Web. Le système surveillé nécessite cependant l'installation d'un logiciel spécial. C'est un programme d'agent qui collecte des données et communique avec les serveurs Atera.
Principales caractéristiques
- Conçu pour les MSP
- Combine RMM et PSA
- Surveiller les systèmes distants
En tant que service à distance, Atera est capable de surveiller n'importe quelle installation client, y compris celle basée sur le cloud. AWS et Azur les serveurs. Le service comprend un processus de découverte automatique, qui enregistre tous les équipements connectés au réseau. Pour les points finaux et les serveurs, le système de surveillance analysera tous les logiciels, créant ainsi un inventaire. Il s’agit d’une source d’informations essentielle pour la gestion des licences logicielles et constitue également un service important de protection contre les menaces. Une fois l'inventaire des logiciels dressé, l'opérateur peut vérifier quels logiciels non autorisés sont installés sur chaque appareil puis les supprimer.
Le moniteur de serveur vérifie les processus dans le cadre de ses tâches régulières, ce qui mettra en évidence les logiciels malveillants en cours d'exécution. L'opérateur est capable d'accéder au serveur à distance et de supprimer les processus indésirables.
Atera surveille les contrôleurs de droits d’accès sur le site du client, notamment Active Directory . L'outil Live Manager du package Atera donne accès à Événement Windows enregistre et fournit une source consultable d’éventuelles failles de sécurité.
Un autre service de protection contre les menaces contenu dans le package Atera est son gestionnaire de correctifs . Cela met automatiquement à jour les systèmes d’exploitation et les logiciels d’application clés dès qu’ils sont disponibles. Ce service important garantit que tous les remèdes contre les exploits produits par les fournisseurs de logiciels sont installés le plus rapidement possible.
Avantages:
- 30 jours d'essai gratuit
- L'analyse réseau continue rend l'inventaire facile et précis
- Système de ticket intégré, idéal pour les MSP qui souhaitent gérer les menaces sur site
- Le prix est basé sur le nombre de techniciens et non d'utilisateurs pris en charge
Les inconvénients:
- Pourrait bénéficier de davantage d'intégrations avec d'autres outils d'accès à distance et Azure AD
Atera est facturé par abonnement avec le tarif fixé par technicien . Les acheteurs peuvent choisir entre un plan de paiement mensuel ou un taux annuel. Le délai de paiement annuel revient moins cher. Vous pouvez accéder à un essai gratuit pour mettre Atera à l'épreuve.
6. Plateforme de sécurité FireEye Helix
Plateforme de sécurité FireEye Helix est un système de protection mixte basé sur le cloud pour les réseaux et les points finaux. L'outil comprend une approche SIEM qui surveille l'activité du réseau et gère et recherche également les fichiers journaux. Le flux de renseignements sur les menaces fourni par FireEyes complète cette solution à multiples facettes en fournissant une base de données de menaces mise à jour pour votre système de surveillance.
Principales caractéristiques
- Forfait SaaS
- Mettre à jour constamment la base de données des menaces
- Flux de travail de correction
FireEyes est une société de cybersécurité de premier plan qui utilise son expertise pour fournir des services de renseignement sur les menaces à un niveau abonnement base. Le format et la profondeur de ces renseignements dépendent du plan sélectionné par le client. FireEyes propose des avertissements à l'échelle du secteur sur les nouveaux vecteurs de menace, ce qui permet aux gestionnaires d'infrastructure de planifier leur défense. Il propose également un flux de renseignements sur les menaces, qui se traduit directement en règles de détection et de résolution des menaces dans Helix Security Platform.
Le forfait Helix comprend également « livres de jeu », qui sont des flux de travail automatisés qui mettent en œuvre des mesures correctives contre les menaces une fois qu'un problème a été détecté. Ces solutions incluent parfois des conseils sur les pratiques sécurisées et les actions d'entretien, ainsi que des réponses automatisées.
Avantages:
- Excellente interface, le thème sombre est idéal pour le suivi à long terme dans les CNO
- Le modèle d'abonnement maintient votre base de données à jour avec les menaces et les acteurs malveillants les plus récents
- Fournit des informations sur les actions correctives et préventives basées sur des événements récents
- Les playbooks proposent des workflows de remédiation pour résoudre automatiquement les problèmes
Les inconvénients:
- La configuration peut être difficile
- Les rapports peuvent être lourds et difficiles à personnaliser
7. Moniteur de menaces N-able
LeMoniteur de menacesest un produit de N-capable qui fournit des logiciels et des services pour prendre en charge les fournisseurs de services gérés. Les MSP proposent régulièrement des services de gestion de réseaux et d’infrastructures informatiques et l’ajout d’une surveillance de la sécurité est donc une extension naturelle des activités régulières de ces MSP.
Principales caractéristiques
- Un SIEM conçu pour les MSP
- Basé sur le cloud
- Gestion des journaux
C'est un gestion des informations et des événements de sécurité (SIEM) système. Un SIEM examine à la fois l’activité en direct sur le système surveillé et recherche également dans les journaux système pour détecter les traces d’activités malveillantes. Le service est capable de surveiller les systèmes sur site des clients du MSP ainsi que tout Azur ou AWS serveur que le client utilise.
Les avantages du moniteur N-able Threat Intelligence résident dans sa capacité à collecter des informations de chaque point du réseau et des appareils qui y sont connectés. Cela donne une vue plus complète des attaques qu’un seul point de collecte. Les menaces sont identifiées par des modèles de comportement et également par référence à la base de données centrale SolarWinds Threat Intelligence, qui est constamment mise à jour. Le base de données de renseignements sur les menaces est compilé à partir d’enregistrements d’événements survenus partout dans le monde. Il est ainsi capable de détecter immédiatement lorsque des pirates informatiques lancent des attaques mondiales ou tentent les mêmes astuces contre de nombreuses victimes différentes.
Les niveaux d'alarme du service peuvent être ajustés par l'opérateur MSP. Le tableau de bord du système comprend visualisations pour événements , tels que des cadrans et des graphiques, ainsi que des listes en direct de contrôles et d'événements. Le service est fourni depuis le cloud, tout comme accessible via n'importe quel navigateur Web . N-able Threat Intelligence est un service par abonnement, il est donc entièrement évolutif et adapté à une utilisation par les MSP de toutes tailles.
Avantages:
- Conçu pour les MSP et les revendeurs
- Peut analyser et extraire les journaux des environnements cloud et cloud hybride
- Différents niveaux d'alarme peuvent être configurés, idéal pour les grands centres d'assistance
- Accessible depuis n'importe quel navigateur
Les inconvénients:
- Les fonctionnalités pour Mac ne sont pas aussi robustes que celles de Windows
- Souhaiterait un processus plus rationalisé pour l’intégration de nouveaux clients
8. Gestion unifiée de la sécurité AlienVault
Gestion unifiée de la sécurité AlienVault (USM) est un produit de Cybersécurité AT&T , qui a acquis la marque AlienVault en 2018. AlienVault USM a évolué à partir d'un projet open source appelé OSSIM , qui signifie « gestion des informations de sécurité open source ». OSSIM est toujours disponible gratuitement avec AlienVault USM fonctionnant en parallèle en tant que produit commercial.
Principales caractéristiques
- Échange ouvert de menaces
- SIEM basé sur le cloud
- Chasse aux menaces avec les processus d'IA
OSSIM est en fait un terme inapproprié car le système est un SIEM complet, comprenant à la fois la surveillance de l'analyse des messages de journal et l'examen du trafic réseau en temps réel. AlienVault USM inclut également ces deux éléments. AlienVault possède un certain nombre de fonctionnalités supplémentaires qui ne sont pas disponibles dans OSSIM, telles que la consolidation des journaux, la gestion du stockage des fichiers journaux et l'archivage. AlienVault USM est un service d'abonnement basé sur le cloud qui vient avec assistance complète par téléphone et par e-mail , tandis qu'OSSIM est disponible en téléchargement et s'appuie sur les forums communautaires pour l'assistance.
Un avantage clé offert aux utilisateurs des produits de sécurité gratuits et payants est l'accès au Échange de menaces ouvertes (OTX) . Il s’agit du plus grand service de plateforme de renseignement sur les menaces fourni par le public au monde. Les informations mises à disposition sur l'OTX peuvent être téléchargées automatiquement dans AlienVault USM pour fournir une base de données sur les menaces à jour. Cela fournit les règles de détection et les workflows de résolution nécessaires au SIEM. L'accès à OTX est gratuit pour tous.
Avantages:
- Disponible pour Mac et Windows
- Peut analyser les fichiers journaux et fournir des rapports d'évaluation des vulnérabilités basés sur les appareils et les applications analysés sur le réseau.
- Le portail alimenté par l'utilisateur permet aux clients de partager leurs données sur les menaces pour améliorer le système
- Utilise l'intelligence artificielle pour aider les administrateurs à traquer les menaces
Les inconvénients:
- Les journaux peuvent être difficiles à rechercher et à analyser
- J'aimerais voir plus d'options d'intégration dans d'autres systèmes de sécurité
9. LogRhythm NextGen SIEM
LogRhythm qualifie son SIEM nouvelle génération comme un cadre de gestion du cycle de vie des menaces (TLM) . La plate-forme dessert deux produits LogRhythm, à savoir les gammes Enterprise et XM. Ces deux produits sont disponibles sous forme d'appliance ou de logiciel. LogRhythm Enterprise s'adresse aux très grandes organisations, et LogRhythm XM s'adresse aux petites et moyennes entreprises.
Principales caractéristiques
- SIEM
- Gestion des journaux
- Rapports de conformité
SIEM signifie Gestion des informations sur les événements de sécurité . Cette stratégie dense combine deux activités, la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM). SEM surveille le trafic en temps réel, à la recherche de modèles d'attaques stockés dans une base de données de menaces. SIM fait également référence à la base de données des menaces mais compare les événements enregistrés dans les fichiers journaux aux modèles définis dans les règles de détection des menaces.
Le logiciel pour le NextGen SIEM peut être installé sur les fenêtres , Linux , ou Unix . Il est également possible de garder votre système de gestion des menaces complètement indépendant de votre matériel en achetant le système en tant qu'appliance qui se connecte à votre réseau.
Avantages:
- Utilise des assistants simples pour configurer la collecte de journaux et d'autres tâches de sécurité, ce qui en fait un outil plus convivial pour les débutants
- Interface élégante, hautement personnalisable et visuellement attrayante
- Tire parti de l’intelligence artificielle et de l’apprentissage automatique pour l’analyse du comportement
Les inconvénients:
- J'aimerais voir une option d'essai
- La prise en charge multiplateforme serait une fonctionnalité bienvenue
Choisir un fournisseur de plateforme de Threat Intelligence
Le secteur de la cybersécurité est actuellement très dynamique. L'augmentation des menaces d'intrusion, qui s'ajoute au risque toujours présent de logiciels malveillants, a contraint le secteur à repenser complètement son approche en matière de protection des systèmes. Cette situation a conduit les principaux producteurs audiovisuels à investir de grosses sommes d'argent dans innovative AI techniques et de nouvelles stratégies pour lutter contre les pirates informatiques et les cyberterroristes.
Les nouveaux acteurs sur le marché ajoutent une pression supplémentaire à la réputation des fournisseurs de cybersécurité établis et maintiennent repousser les limites de la technologie de cybersécurité . Les plateformes de renseignement sur les menaces jouent un rôle important dans la lutte pour la cybersécurité aux côtés des SIEM et des systèmes de prévention des intrusions.
Même si de nouveaux CONSEILS apparaissent constamment, nous sommes convaincus que les plateformes de renseignement sur les menaces recommandées sur notre liste resteront en tête du peloton. En effet, les entreprises qui les proposent ont une longue expérience dans le domaine et ont montré qu’elles sont prêtes à innover pour anticiper les menaces.
FAQ sur les plateformes de renseignement sur les menaces
Quelle est la différence entre le renseignement sur les menaces et la chasse aux menaces ?
La chasse aux menaces est le processus de recherche d'indicateurs de compromission (IOC). Les renseignements sur les menaces sont une liste d’IOC à surveiller. Certaines informations sur les menaces sont intégrées à la plupart des modules de chasse aux menaces : ce sont les événements fondamentaux à surveiller, comme les tentatives de connexion infructueuses et excessives qui indiquent une attaque par force brute. Les autres renseignements sur les menaces sont de nouvelles informations qui identifient une nouvelle stratégie d'attaque que les pirates commencent tout juste à utiliser. Un flux de renseignements sur les menaces transmet les nouvelles d'une attaque Zero Day à d'autres abonnés, de sorte que dès qu'un utilisateur du pool découvre cette attaque, tous les autres clients en sont informés et leur module de chasse aux menaces peut la rechercher.
Comment décrivez-vous les différences entre les renseignements sur les menaces et le SIEM ?
Les systèmes SIEM recherchent dans les messages de journal des indicateurs de compromission (IOC). Les renseignements sur les menaces fournissent une liste des IOC à surveiller. Les SIEM NextGen incluent l’accès à un flux de renseignements en direct sur les menaces qui fournit des IOC à la minute près.
Les plateformes de Threat Intelligence peuvent-elles arrêter les domaines malveillants ?
Une plateforme de renseignement sur les menaces comprend une liste formatée d’attaques potentielles. Cela inclura les adresses IP et les domaines connus pour être utilisés par des acteurs malveillants.