Configuration du moteur de détection comportementale Aurora Focus

Le moteur de détection comportementale est le nouveau moteur de collecte et d'analyse des données qui optimise et améliore considérablement les capacités de l'agent Aurora Focus sur les terminaux de votre entreprise.

Auparavant, l'agent Aurora Focus utilisait des jeux de règles de détection pour détecter et répondre aux menaces potentielles sur les terminaux. Le moteur de détection comportementale fait évoluer les mécanismes de détection et de réponse aux menaces de Aurora Focus avec les avancées suivantes :

Élément

Description

Cadre ATT&CK de MITRE

Le moteur de détection comportementale s'appuie sur les tactiques et techniques éprouvées du cadre ATT&CK de MITRE comme fondement pour analyser et interpréter les données afin de détecter les cybermenaces. En mettant en œuvre le cadre ATT&CK de MITRE, le moteur de détection comportementale profite des dernières et meilleures sources de connaissances et de méthodes en matière de cybersécurité pour garder les données et les ressources de votre organisation en sécurité.

Lorsque vous configurez une stratégie de détection comportementale, vous disposez d'un contrôle direct et personnalisable sur une large gamme de techniques MITRE qui fonctionneront sur les terminaux Aurora Focus.

Collecte et traitement améliorés des données

Le moteur de détection comportementale conserve la fonction principale de définition des données que l'agent Aurora Focus collecte, des événements qu'il détecte et pour lesquels il génère des alertes, ainsi que des réponses automatisées que l'agent donne pour des détections spécifiques.

Le moteur de détection comportementale ajoute de nouvelles capacités de transformation à Aurora Focus :
  • Vous définissez un seuil de sévérité minimum (par exemple, Moyen et supérieur) pour contrôler le niveau de détection sur toutes les techniques MITRE qui généreront des alertes dans la console Endpoint Defense. Cela permet de mieux contrôler le nombre et les types d'alertes générées.
  • Vous pouvez définir si chaque technique MITRE collecte et analyse les données de télémétrie pour toutes les détections, quelle que soit leur sévérité (c'est ce que l'on appelle observation), ou uniquement pour les détections qui atteignent le seuil de sévérité minimum pour la génération d'alertes. Vous pouvez personnaliser cette configuration pour chaque technique MITRE, ce qui vous permet de concentrer la collecte de données et l'alerte en fonction de votre posture de sécurité.
  • En activant l'observation (collecte et interprétation des données sans alerte), l'agent peut apporter ces données à un ensemble de données riche en contexte sans accentuer le volume d'alertes dans la console.
  • Le moteur de détection comportementale utilise des méthodes plus avancées pour la collecte et la corrélation des données afin de l'aider à identifier une chaîne d'événements pertinents au niveau technique.

Personnalisation et adaptation plus simples de votre configuration

Le moteur de détection comportementale offre des méthodes plus simples pour personnaliser la détection des menaces et la réponse à celles-ci :
  • Les stratégies de détection comportementale sont simples à créer et à configurer, avec des commandes intuitives pour configurer les observations, les alertes et les réponses automatisées pour chaque technique MITRE.
  • La configuration d'une technique MITRE s'applique à toutes les procédures de détection contenues dans cette technique. Cela permet d'obtenir un niveau efficace de personnalisation et de réglage précis sans un niveau excessif de granularité pour chaque procédure de détection.
  • L'iconographie fournit une « vue d'ensemble » bien utile de la configuration de chaque technique MITRE.
  • Les options de recherche et de filtrage intuitives vous permettent de trouver facilement les techniques que vous recherchez.
  • Par défaut, l'observation et les alertes sont activées pour toutes les techniques et les réponses automatisées sont désactivées. Cela vous permet de hiérarchiser l'évaluation avant de configurer l'agent Aurora Focus pour qu'il prenne des mesures.
  • À tout moment, vous pouvez modifier le mode d'opération du moteur de détection comportementale sur les terminaux pour passer au mode Alerte uniquement (les réponses automatisées que vous avez configurées ne seront pas exécutées) ou au mode Application complète (les réponses automatisées seront exécutées). Ce contrôle global offre une grande flexibilité lors des enquêtes.

Création simplifiée des exceptions

Il est désormais plus facile de créer des exceptions pour certains types de détections que le moteur de détection comportementale doit ignorer. Le moteur de détection comportementale ne collecte ni n'utilise aucune donnée de télémétrie, ni ne génère aucune alerte pour les détections correspondant aux critères d'exception que vous spécifiez.

Vous pouvez utiliser les alertes existantes pour créer une nouvelle exception, en la préremplissant avec les détails des alertes, ou vous pouvez utiliser une nouvelle interface intuitive pour créer des exceptions. Vous pouvez également choisir si vous souhaitez que l'exception s'applique à des terminaux spécifiques, des zones spécifiques ou à l'ensemble du locataire Aurora Endpoint Security.

Nouvelles méthodes d'évaluation des alertes et de recherche des menaces

Vous pouvez utiliser la vue Alertes dans la console Endpoint Defense pour examiner et enquêter sur les alertes générées par le moteur de détection comportementale, et vous pouvez utiliser la fonction de requête avancée pour rechercher des détections spécifiques. Les deux interfaces facilitent la localisation et l'obtention de données utiles sur les alertes générées par le moteur de détection comportementale.

Mises à jour automatiques des techniques MITRE

Arctic Wolf Endpoint Defense peut déployer des mises à jour dynamiques des techniques MITRE qui alimentent le moteur de détection comportementale. Cela remplace la méthode précédente consistant à obtenir et à ajouter manuellement de nouveaux jeux de règles de détection à la console.

Les mises à jour automatiques transparentes garantissent que votre environnement bénéficie des règles de détection les plus récentes et les plus strictes, tout en garantissant la continuité de l'activité. Vous devez accepter manuellement les nouvelles règles de détection avant que l'agent Aurora Focus puisse donner des réponses automatisées aux détections associées, garantissant ainsi que les mises à jour ne perturberont pas votre personnel. Les nouvelles règles de détection fonctionnent en mode Alerte uniquement jusqu'à ce que vous les approuviez. Les règles de détection mises à jour qui ont été approuvées précédemment continuent d'exécuter des réponses automatisées si elles ont été configurées à cet effet.

Le moteur de détection comportementale est compatible avec toutes les versions de l'agent Aurora Focus prises en charge par la console Endpoint Defense, mais ses fonctionnalités de collecte et d'analyse des données fonctionnent de manière optimale avec les versions 3.3 et ultérieures de l'agent.

Si l'agent Aurora Focus est déjà installé sur des terminaux de l'environnement de votre organisation, suivez les instructions de la section Transition des terminaux Aurora Focus des jeux de règles de détection vers le moteur de détection comportementale. Pour les nouveaux déploiements de l'agent Aurora Focus, suivez les instructions de la section Créer une stratégie de détection comportementale.

Une fois que l'agent Aurora Focus sur les terminaux utilise le moteur de détection comportementale, vous pouvez surveiller les détections et les alertes au fil du temps et personnaliser la configuration pour répondre aux besoins de votre organisation.