Les équipes de sécurité sont souvent submergées quotidiennement par des alertes, y compris des faux positifs, et des actions qui nécessitent une attention particulière mais qui pourraient être mises en veille. Mais lorsque les alertes commencent à s’accumuler et ne sont pas traitées rapidement, des problèmes de sécurité importants peuvent passer inaperçus et se transformer en une violation de données. Le délai de détection et de réponse aux incidents de sécurité doit être aussi court que possible pour limiter le temps dont dispose un attaquant pour mener une attaque.
Une solution, l’automatisation de la réponse aux incidents, permet aux équipes de sécurité de réduire le temps consacré aux mesures de réponse standard et répétitives et de consacrer plus de temps à la résolution des problèmes de sécurité opportuns. Dans ce blog, nous allons voir comment Log360 aide l’équipe de sécurité informatique à réaliser des réponses automatisées aux incidents. Pour la démonstration, nous utiliserons le scénario d’une simple attaque par force brute sur le réseau.
Voici les cinq étapes pour automatiser les processus de réponse aux incidents dans Log360 :
- Créez une règle de corrélation pour détecter automatiquement le modèle et déclencher une alerte.
- Créez un workflow personnalisé pour automatiser la séquence d’étapes permettant de lancer une action de réponse à l’alerte.
- Mettez à jour le profil d’alerte de corrélation pour mettre en correspondance la règle de corrélation avec le workflow de réponse.
- Définissez une règle d’incident pour créer automatiquement un incident pour l’alerte et l’attribuer au technicien approprié.
- Gérez efficacement les tickets en créant des tickets pour une enquête plus détaillée via des intégrations avec des outils tiers de ticketing ou de help desk.
Figure 1 : Cette image donne un aperçu des cinq étapes de l’automatisation de la réponse aux incidents.
- Créez une règle de corrélation
Sous l’onglet “Corrélation”, vous pouvez créer une règle de corrélation pour détecter une attaque par force brute en spécifiant des actions réseau et des niveaux de seuil. Dans l’image ci-dessous, nous avons défini la règle en supposant qu’un modèle d’attaque par force brute consiste en plusieurs tentatives de connexion infructueuses (action 1) suivies d’une connexion réussie (action 2). La durée et la fréquence de l’action sont spécifiées par le seuil limite.
Une solution SIEM efficace dotée d’un moteur de corrélation doit permettre des actions personnalisées et fournir un large éventail d’actions prédéfinies.
Figure 2 : C’est une capture d’écran de la fonction de création de règles de corrélation dans Log360.
- Créez le workflow
Sous l’onglet Alertes, vous pouvez créer le flux de travail de réponse pour une alerte d’attaque par force brute en sélectionnant Créer un nouveau flux de travail. Le constructeur visuel vous permet de créer l’action de réponse avec une option de glisser-déposer facile.
Tout d’abord, déconnectez l’appareil. Ensuite, désactivez l’utilisateur. En cas de succès, un SMS est envoyé pour informer l’utilisateur. Si la désactivation de l’utilisateur ne réussit pas, une alerte de logique de décision en informe l’administrateur informatique.
Figure 3 : C’est une capture d’écran du générateur de workflow dans Log360.
- Mettez à jour le profil d’alerte de corrélation
Dans la section gérer le profil sous l’onglet Alertes, vous trouverez le profil d’alerte de corrélation que nous avons créé à l’étape 1. Vous pouvez maintenant mettre à jour le profil d’alerte en affectant le workflow de réponse et en définissant la gravité.
Figure 4 : Cette image montre comment activer le workflow pour le profil d’alerte de corrélation.
- Définissez une règle d’incident
Grâce aux règles d’incident, vous pouvez créer automatiquement des incidents dès qu’un profil d’alerte est déclenché. La section des incidents vous permet de gérer plus efficacement les alertes en attribuant une gravité aux incidents, en surveillant leur temps et leur statut, et en assignant la personne appropriée pour la fermeture et l’investigation.
Figure 5 : Cette image montre comment vous pouvez créer une règle d’incident pour un profil d’alerte.
- Gérez efficacement les tickets
Vous pouvez créer automatiquement des tickets externes pour le profil d’alerte souhaité en intégrant des outils de ticketing ou de help desk. Les détails de l’alerte sont transmis à l’outil de tickets, afin que le technicien désigné dans votre organisation puisse enquêter plus avant si nécessaire.
Figure 6 : Cette capture d’écran montre comment créer des tickets automatiques pour les profils d’alerte en utilisant Log360.
Pour bien comprendre le processus de réponse automatisée aux incidents, nous avons utilisé un cas d’utilisation simple, à savoir une attaque par force brute. Cependant, vous pouvez créer des règles de corrélation et des flux de travail personnalisés pour détecter et répondre à des cyberattaques complexes.
Avec la capacité de réponse aux incidents de Log360, les SOC peuvent automatiquement corréler les événements suspects, hiérarchiser les alertes en fonction de leur gravité, déclencher la première ligne de défense avec des workflows de réponse automatisés et gérer les incidents de manière centralisée.
Vous êtes intéressé par une démo personnalisée du produit ? Cliquez ici. Vous voulez essayer le produit ? Découvrez l’essai gratuit de 30 jours.