Configuration du moteur de détection comportementale Aurora Focus
Le moteur de détection comportementale est le nouveau moteur de collecte et d'analyse des données qui optimise et améliore considérablement les capacités de l'agent Aurora Focus sur les terminaux de votre entreprise.
|
Élément |
Description |
|---|---|
|
Cadre ATT&CK de MITRE |
Le moteur de détection comportementale s'appuie sur les tactiques et techniques éprouvées du cadre ATT&CK de MITRE comme fondement pour analyser et interpréter les données afin de détecter les cybermenaces. En mettant en œuvre le cadre ATT&CK de MITRE, le moteur de détection comportementale profite des dernières et meilleures sources de connaissances et de méthodes en matière de cybersécurité pour garder les données et les ressources de votre organisation en sécurité. Lorsque vous configurez une stratégie de détection comportementale, vous disposez d'un contrôle direct et personnalisable sur une large gamme de techniques MITRE qui fonctionneront sur les terminaux Aurora Focus. |
|
Collecte et traitement améliorés des données |
Le moteur de détection comportementale conserve la fonction principale de définition des données que l'agent Aurora Focus collecte, des événements qu'il détecte et pour lesquels il génère des alertes, ainsi que des réponses automatisées que l'agent donne pour des détections spécifiques.
Le moteur de détection comportementale ajoute de nouvelles capacités de transformation à Aurora Focus :
|
|
Personnalisation et adaptation plus simples de votre configuration |
Le moteur de détection comportementale offre des méthodes plus simples pour personnaliser la détection des menaces et la réponse à celles-ci :
|
|
Création simplifiée des exceptions |
Il est désormais plus facile de créer des exceptions pour certains types de détections que le moteur de détection comportementale doit ignorer. Le moteur de détection comportementale ne collecte ni n'utilise aucune donnée de télémétrie, ni ne génère aucune alerte pour les détections correspondant aux critères d'exception que vous spécifiez. Vous pouvez utiliser les alertes existantes pour créer une nouvelle exception, en la préremplissant avec les détails des alertes, ou vous pouvez utiliser une nouvelle interface intuitive pour créer des exceptions. Vous pouvez également choisir si vous souhaitez que l'exception s'applique à des terminaux spécifiques, des zones spécifiques ou à l'ensemble du locataire Aurora Endpoint Security. |
|
Nouvelles méthodes d'évaluation des alertes et de recherche des menaces |
Vous pouvez utiliser la vue Alertes dans la console Endpoint Defense pour examiner et enquêter sur les alertes générées par le moteur de détection comportementale, et vous pouvez utiliser la fonction de requête avancée pour rechercher des détections spécifiques. Les deux interfaces facilitent la localisation et l'obtention de données utiles sur les alertes générées par le moteur de détection comportementale. |
|
Mises à jour automatiques des techniques MITRE |
Arctic Wolf Endpoint Defense peut déployer des mises à jour dynamiques des techniques MITRE qui alimentent le moteur de détection comportementale. Cela remplace la méthode précédente consistant à obtenir et à ajouter manuellement de nouveaux jeux de règles de détection à la console. Les mises à jour automatiques transparentes garantissent que votre environnement bénéficie des règles de détection les plus récentes et les plus strictes, tout en garantissant la continuité de l'activité. Vous devez accepter manuellement les nouvelles règles de détection avant que l'agent Aurora Focus puisse donner des réponses automatisées aux détections associées, garantissant ainsi que les mises à jour ne perturberont pas votre personnel. Les nouvelles règles de détection fonctionnent en mode Alerte uniquement jusqu'à ce que vous les approuviez. Les règles de détection mises à jour qui ont été approuvées précédemment continuent d'exécuter des réponses automatisées si elles ont été configurées à cet effet. |
Le moteur de détection comportementale est compatible avec toutes les versions de l'agent Aurora Focus prises en charge par la console Endpoint Defense, mais ses fonctionnalités de collecte et d'analyse des données fonctionnent de manière optimale avec les versions 3.3 et ultérieures de l'agent.
Si l'agent Aurora Focus est déjà installé sur des terminaux de l'environnement de votre organisation, suivez les instructions de la section Transition des terminaux Aurora Focus des jeux de règles de détection vers le moteur de détection comportementale. Pour les nouveaux déploiements de l'agent Aurora Focus, suivez les instructions de la section Créer une stratégie de détection comportementale.
Une fois que l'agent Aurora Focus sur les terminaux utilise le moteur de détection comportementale, vous pouvez surveiller les détections et les alertes au fil du temps et personnaliser la configuration pour répondre aux besoins de votre organisation.