Detectree simplifie l’analyse des données pour les Blue teams. Cet outil optimise les délais de réponse, réduit les baisses de vigilance face aux trop nombreuses alertes, et optimise la communication.
Tribune – En cas de cyber-incident, chaque minute compte. Il faut agir vite pour circonscrire l’attaque et minimiser les dommages. Pourtant, de nombreuses entreprises éprouvent encore des difficultés à délimiter les activités malveillantes et à évaluer leur impact.
Un nouvel outil open-source vient changer la donne : Detectree. Detectree a été conçu pour augmenter la visibilité sur les activités suspectes détectées. Développé par WithSecure™ (anciennement F-Secure Business), cet outil répond aux besoins des équipes de cyberdéfense (également appelées équipes bleues).
Tom Barrow, Threat Hunter senior pour WithSecure Countercept, rappelle qu’il est essentiel de pouvoir établir des corrélations entre les différents événements suspects enregistrés sur un endpoint :
« La visibilité est toujours une priorité, mais elle devient un impératif vital en cas d’incident », explique-t-il. « Une attaque est une course contre la montre. Plus vous avez besoin de temps pour établir des corrélations au sein des données enregistrées, plus vous tardez à remédier au problème. Face à une attaque, ce temps perdu est un véritable gaspillage. »
Par exemple, lorsqu’un analyste recherche la cause d’un processus suspect, il doit généralement examiner les données des logs et reconstituer manuellement la chaîne des événements. Plus la chaîne est longue, plus elle devient difficile à analyser. Or, dans les grandes entreprises, les Blue Teams peuvent être confrontées à des volumes d’alertes colossaux : environ 11 000 par jour selon une récente étude*. Ces équipes peuvent donc facilement se retrouver submergées.
Detectree a été conçu pour simplifier le travail d’investigation en structurant les données des logs. Cet outil met en évidence les relations entre l’activité suspecte détectée et tous les processus, destinations réseau, fichiers et clés de registre liés à cette activité. Plutôt que de trier manuellement les données représentées sous forme de texte pour reconstituer la chaîne d’événements, les équipes peuvent observer directement les corrélations, ainsi que la nature de ces corrélations (interactions, relations parent-enfant, injections de processus).
En s’appuyant sur la visualisation, les équipes peuvent rapidement cerner le contexte propre à une détection, et partager ces données avec les parties concernées de manière simple et intuitive. Elles ont ainsi la certitude que ces informations seront accessibles à tous ceux qui en ont besoin.
« Même les Blue Teams les plus expérimentées et les plus compétentes ont besoin d’outils performants pour travailler efficacement. Certaines tâches sont complexes et particulièrement chronophages pour les équipes de sécurité. Detectree est un outil simple, qui apporte une réponse à ces problèmes », conclut-il.
Detectree est disponible dès aujourd’hui, en téléchargement : WithSecure Countercept’s Github page
*Source : https://www.eweek.com/security/challenges-of-the-soc-decision-intelligence/.