Examinez vos incidents de sécurité
Vous commencez par consulter le tableau de bord de gestion des incidents, qui offre une vue centralisée de tous les incidents de sécurité en cours, avec leur état, leur niveau de gravité et d’autres informations clés.
Vous repérez un incident qui nécessite votre attention, alors vous cliquez pour l’ouvrir.
Explorez en profondeur les détails de l’incident
La page Aperçu de l’incident vous permet de recueillir des informations supplémentaires :
![tick]()
Le score d’incident pour la gravité![tick]()
Actifs compromis![tick]()
Sources de données pour les alertes renforcées![tick]()
Réponses automatisées déjà effectuées
Le score d’incident pour la gravitéExplorez en profondeur les détails de l’incident
Pour générer cet incident, Cortex XDR a créé des enregistrements d’activité enrichis en assemblant des événements provenant de sources multiples, en établissant la connexion entre les hôtes, les identités, le trafic réseau et d’autres éléments afin d’élargir le contexte de l’incident.
Des centaines de modèles de machine learning ont recherché des activités anormales dans les données assemblées, générant de nouvelles alertes de détection.
Cortex XDR a ensuite regroupé les alertes connexes en un seul incident, dressant ainsi un tableau complet de l’attaque et réduisant de 98 % le nombre d’alertes à examiner manuellement.
Identifiez les actifs compromis
En examinant l’incident, vous remarquez qu’un ordinateur Windows et un serveur Internet hébergé dans le cloud ont peut-être été compromis.
Vérifiez le framework MITRE ATT&CK®
L’attaque est également mise en correspondance avec le framework MITRE ATT&CK®, qui fournit une taxonomie normalisée pour la catégorisation et la description des cybermenaces et des techniques d’attaque. En associant automatiquement une attaque à ce framework, Cortex XDR vous offre une vue d’ensemble de toutes les activités connexes.
Analysez les alertes et les informations pour prendre le contrôle
Vos alertes critiques confirment que l’ordinateur Windows a été compromis.
Plus bas dans la liste, vous remarquez qu’un serveur hébergé dans le cloud affiche une alerte de gravité moyenne. En examinant l’alerte, vous découvrez qu’une attaque par force brute a été tentée et qu’elle a échoué.
Il est maintenant temps d’isoler l’ordinateur Windows compromis afin d’empêcher cette attaque de se poursuivre.
Stoppez l’attaque dès le départ
Isoler un terminal permet de contenir la propagation des malwares et d’autres menaces.
En déconnectant le terminal compromis du réseau, vous empêchez la menace de se propager à d’autres périphériques ou systèmes, ce qui limite la portée et l’impact de l’incident.
Traquez et neutralisez les malwares
Il est à présent temps de rechercher et neutraliser le fichier de ransomware.
Grâce au terminal en direct, vous pouvez exécuter des commandes et des scripts à distance sur les terminaux, facilitant ainsi une remédiation rapide sans avoir besoin d’accéder physiquement aux périphériques concernés.
Dévoilez les coulisses
Pourquoi cette attaque n’a-t-elle pas été bloquée par l’agent du terminal ?
Pour les besoins de cette démonstration, nous avons réglé la politique des terminaux en mode rapport uniquement, ce qui permet à l’attaque de se poursuivre tout en nous informant de son évolution. Il s’agit également d’un rappel de toujours suivre les meilleures pratiques lors de la configuration des politiques.
À présent, définissons la politique de blocage et poursuivons !
Identifiez les lacunes en matière de sécurité et assurez la conformité aux normes réglementaires
Après avoir bien maîtrisé cet incident de ransomware, vous vous souvenez qu’un actif cloud avait été ciblé plus tôt lors d’une tentative de force brute. C’est pourquoi vous devez prendre des mesures de sécurité proactives pour renforcer la sécurité de votre cloud.
Les fonctionnalités de conformité cloud de Cortex XDR effectuent des contrôles de conformité selon les benchmarks du Center for Internet Security (CIS) sur les ressources cloud. Cela permet d’identifier les lacunes potentielles en matière de sécurité, d’atténuer les risques et d’éviter les amendes ou les pénalités réglementaires.
Vous remarquez que le taux de conformité n’est que de 74 %, ce que vous jugez important d’inclure dans votre rapport final.
Évaluez les vulnérabilités à l’aide d’un tableau de bord unique
Après avoir découvert un ordinateur compromis lors de votre investigation, vous utilisez l’évaluation des vulnérabilités pour vérifier les potentielles vulnérabilités non corrigées qui auraient pu être exploitées.
Vous constatez que l’ordinateur compromis que vous avez signalé présente plusieurs vulnérabilités qui ont contribué à l’attaque du ransomware, ce qui vous donne les informations dont vous avez besoin pour commencer à appliquer les correctifs.
Des rapports concis et faciles à comprendre
Il est temps de générer des rapports pour votre responsable dans un format concis. Vous pouvez choisir parmi un certain nombre de modèles prédéfinis ou créer des rapports personnalisés.
Vous générez des rapports sur votre investigation, notamment sur la gestion des incidents, la conformité du cloud et l’évaluation des vulnérabilités.
Cliquez sur une ligne pour générer un rapport
Vous y êtes presque !
Félicitations ! Vous avez mené à bien l’investigation et résolu l’attaque par ransomware. Elle a révélé les points suivants :
![tick]()
Une tentative d’attaque par force brute sur un actif cloud![tick]()
Un ordinateur présentant une vulnérabilité non corrigée![tick]()
Une politique de sécurité réglée en mode rapport uniquement, ce qui permet à l’attaque de se poursuivre.
Heureusement, vous avez rapidement isolé le terminal compromis et éliminé le fichier du ransomware sans avoir besoin d’accéder physiquement à l’ordinateur.
Des rapports détaillant l’ensemble de l’incident ont été générés. Et dans moins d’une heure, vous serez les pieds dans le sable.
Rien de tel que d’avoir plus de temps
Cortex XDR permet aux analystes en sécurité de se concentrer sur leur cœur de métier. Les opérations de sécurité peuvent tirer parti de Cortex XDR aux fins suivantes :
![tick]()
Prévenir les menaces telles que les ransomwares sur les terminaux et les workloads cloud![tick]()
Accélérer le délai moyen de détection à la vitesse de la machine![tick]()
Réagir rapidement à la cause première des attaques
Accomplissez davantage en matière de sécurité avec Cortex XDR.
98 % d’alertes en moins
Des investigations 8 fois plus rapides
100 % de prévention et détection sans modification de configuration selon MITRE Engenuity 2023