Comment Aurora Endpoint Security regroupe les alertes

Aurora Endpoint Security utilise les critères suivants pour regrouper les alertes de différents services, en automatisant le processus afin de définir et d'optimiser vos activités de recherche et de résolution des menaces en regroupements logiques d'alertes connexes. Créée et gérée par Arctic Wolf, la logique de regroupement est conçue de manière dynamique pour gérer les alertes provenant d'une gamme de services intégrés. Vous bénéficiez ainsi d'une expérience sans intervention qui automatise l'analyse de la fréquence et de la prévalence, ce qui vous permet de trier et de hiérarchiser plus facilement vos efforts en matière de cybersécurité.

Une nouvelle alerte est ajoutée à un groupe d'alertes existant lorsque toutes les conditions suivantes sont remplies :

La priorité, la classification, la sous-classification, la description, les indicateurs clés et la réponse de l'alerte correspondent à ce groupe.
L'alerte est détectée dans les 7 jours (168 heures) suivant l'alerte la plus ancienne de ce groupe.

Un nouveau groupe d'alertes est créé lorsqu'une alerte qui ne remplit pas toutes ces conditions est détectée.

Priorité

La priorité d'une alerte, qui correspond à l'urgence du problème et son impact potentiel sur l'environnement de votre entreprise, est prise en compte dans le mode de regroupement des alertes. La vue Alertes regroupe les alertes prioritaires parmi les sources de télémétrie pour vous aider à afficher et à résoudre en premier lieu les alertes les plus urgentes.

Les facteurs qui déterminent la priorité d'une alerte varient selon le service :


Service	Facteurs
Aurora Protect Desktop	Pour les alertes de menace, la priorité est toujours élevée dans la vue Alertes, même si la priorité de l'alerte est inférieure dans Protection > Menaces de la console de gestion. L'objectif de cette priorité élevée dans la vue Alertes est d'indiquer l'urgence de la détection des programmes malveillants. Pour les alertes de protection de la mémoire et de contrôle de script, la priorité est déterminée par la nature de l'événement, telle qu'elle est configurée par les analystes de cybersécurité Arctic Wolf. La priorité dépend de la gravité globale et de la pertinence de l'enquête.
Aurora Protect Mobile	Les alertes utilisent une valeur de priorité correspondant à la gravité spécifiée dans la console de gestion et dans l'application Aurora Protect Mobile.
Aurora Focus	La priorité est déterminée par la configuration des règles de détection Aurora Focus.
Gateway	La priorité est basée sur les paramètres de protection du réseau que vous configurez ou sur la réputation de la destination, telle qu'elle est déterminée par Gateway, avec un niveau de risque élevé. Par exemple, Gateway peut générer des alertes à afficher dans la vue Alertes dans les cas suivants : Détections de réputation de destination : Lorsque cette option est activée, les alertes sont générées en fonction du niveau de risque que vous avez défini. Par exemple, si vous définissez le niveau de risque sur « Moyen à élevé », des alertes sont générées pour toutes les détections avec des niveaux de risque moyen et élevé. Lorsque cette option n'est pas activée, les alertes dont le niveau de risque est élevé sont générées par défaut. Détections de signature : Lorsque cette option est activée, des alertes sont générées pour les détections de signature bloquées et s'affichent avec un niveau de risque élevé. Lorsque cette option n'est pas activée, Gateway ne génère pas d'alertes. En ce qui concerne les détections Tunnellisation DNS et Jour zéro, des alertes sont générées si les détections présentent un niveau de risque élevé.
CylanceAVERT	La priorité est toujours élevée dans la vue Alertes.
Mimecast	La priorité est déterminée par l'évaluation des risques liés aux pièces jointes Mimecast.
Okta	La priorité est configurée par des analystes de cybersécurité Arctic Wolf.

Classification et sous-classification

La classification et la sous-classification des alertes identifient et cataloguent le type de détection sous-jacent pour fournir un contenu d'alerte structuré qui décrit plus précisément l'alerte détectée par un service donné. Chaque service définit un ensemble spécifique de classifications et de sous-classifications pour clarifier la nature de l'alerte.

Les données de classification et de sous-classification servent à identifier et à regrouper les alertes similaires.

Les facteurs qui déterminent la classification et la sous-classification d'une alerte varient selon le service :


Service	Facteurs
Aurora Protect Desktop	Pour les alertes de menace, la classification et la sous-classification correspondent aux classifications de fichiers des alertes de menace Aurora Protect Desktop. Le cas échéant, le nom de famille d'une classification d'alerte de menace s'affiche à la fin du texte dans la colonne de classification. Par exemple, si « Malware,AgentTesla » s'affiche dans la colonne de classification, Malware est la classification et AgentTesla est le nom de la famille. Pour les alertes de protection de la mémoire, la classification et la sous-classification correspondent aux types de violation de protection de la mémoire. Pour les alertes de contrôle de script, la classification indique le type d'alerte global (par exemple, contrôle des scripts, programme potentiellement indésirable, programme malveillant) et la sous-classification fournit des détails supplémentaires (par exemple, script exécuté, script bloqué).
Aurora Protect Mobile	La classification correspond à une catégorie globale d'alertes (par exemple, Sécurité du terminal ou Menaces réseau) et la sous-classification correspond au type d'alerte spécifique qui s'affiche dans la console de gestion et dans l'application (par exemple, Application malveillante, Application chargée latéralement, Wi-Fi non sécurisé, etc.).
Aurora Focus	Les règles de détection contiennent des tactiques, des techniques et des sous-techniques MITRE pour définir la classification et la sous-classification d'une alerte.
Gateway	La classification correspond à la catégorie globale des alertes (par exemple, Contrôle d'accès réseau) et la sous-classification correspond au type d'alerte spécifique qui s'affiche dans la console de gestion (par exemple, Réputation, Tunnellisation DNS, Détection de signature et Détection du jour zéro).
CylanceAVERT	La classification est déterminée par l'évènement d'exfiltration.
Mimecast	La classification d'une alerte est la tactique MITRE d'accès initial (TA0001). La sous-classification de la même alerte est la technique MITRE d'hameçonnage (T1566).
Okta	La classification d'une alerte est soit le contrôle d'accès utilisateur (par exemple, si le nombre maximal de tentatives de connexion est dépassé), soit le contrôle d'accès réseau (par exemple, si la demande IP est bloquée en raison d'une règle de liste de blocage). Si la classification d'alerte est le contrôle d'accès utilisateur, la sous-classification sera le verrouillage utilisateur. Si la classification d'alerte est le contrôle d'accès réseau, la sous-classification sera le blocage de l'adresse IP.

Description

La description d'une alerte est une caractéristique qui fournit un court segment d'informations sur l'alerte. Les alertes avec des descriptions sont davantage susceptibles d'être regroupées.

Indicateurs clés

Les indicateurs clés sont le contenu de détection commun à chaque alerte spécifique d'un groupe d'alertes. Le processus d'agrégation compare les indicateurs clés des alertes pour déterminer si celles-ci doivent être regroupées. Par exemple, si un fichier contient un hachage SHA256 d'indicateur clé, la valeur de hachage est identique dans chaque alerte comprise dans un groupe d'alertes.

Les indicateurs clés d'une alerte varient selon le service :


Service	Facteurs
Aurora Protect Desktop	Pour les alertes de menace, l'indicateur clé est le hachage SHA256. Pour les alertes de protection de la mémoire, les indicateurs clés sont les caractéristiques uniques de l'évènement (par exemple, les données de fichier telles que le hachage SHA256 et la valeur de risque). Pour les alertes de contrôle de script, les indicateurs clés sont les caractéristiques uniques de l'événement (par exemple, un hachage SHA256 de fichier, un type de script et un nom de script).
Aurora Protect Mobile	Les indicateurs clés correspondent aux caractéristiques uniques d'une alerte mobile donnée (par exemple, le nom de package d'une application chargée latéralement, le SSID d'un réseau Wi-Fi non sécurisé, le modèle d'un terminal non pris en charge, etc.).
Aurora Focus	Les indicateurs clés sont les facettes des artéfacts d'identification unique associés à une alerte. Par exemple, pour les artefacts de processus, les indicateurs clés sont les facets suivants : hachage SHA256, chemin d'accès au fichier et argument de ligne de commande. Ces facets établissent une signature unique pour le type d'artéfact de processus qui peut être comparé à d'autres alertes. Les facets d'indicateur clé d'un groupe d'alertes sont communs à toutes les alertes individuelles du groupe.
Gateway	Les indicateurs clés sont Connexion réseau et Demande DNS.
CylanceAVERT	Les indicateurs clés varient en fonction du type d'artéfact. Pour les artéfacts d'alerte par e-mail, l'indicateur clé est l'ID de conversation. Pour les artéfacts d'alerte d'exfiltration de fichiers et de navigateur, l'indicateur clé est le nom d'utilisateur.
Mimecast	Les indicateurs clés sont les facettes des artéfacts associés à une alerte. Par exemple, pour les artéfacts de pièces jointes d'e-mail, les indicateurs clés sont le hachage SHA256 de la pièce jointe d'e-mail.
Okta	Les indicateurs clés sont les comptes associés aux demandes de connexion des utilisateurs et l'adresse IP associée aux tentatives de connexion bloquées.

Réponse

Pour les services qui exécutent des actions d'atténuation, il s'agit de l'action que vous avez configurée pour exécuter le service en réponse à la détection. Par exemple, pour les alertes de menace Aurora Protect Desktop, la réponse peut être l'une des suivantes : ignorée, en quarantaine, dangereuse ou anormale.

Pour les services qui n'exécutent pas d'actions d'atténuation, des informations pertinentes sont collectées à partir du service intégré. Les alertes avec des réponses correspondantes sont davantage susceptibles d'être regroupées.

Heure

L'heure à laquelle une alerte se produit par rapport aux autres alertes est prise en compte dans le mode de regroupement des alertes. Une alerte est ajoutée à un groupe existant si la priorité, la classification, la sous-classification, la description, les indicateurs clés et la réponse de l'alerte correspondent à ce groupe, et si l'alerte se produit dans les 7 jours (168 heures) suivant l'alerte la plus ancienne de ce groupe. Si l'alerte correspond aux critères ci-dessus mais se produit en dehors de la période de 7 jours suivant l'alerte la plus ancienne du groupe, elle est ajoutée à un nouveau groupe. Le délai de 7 jours garantit que les groupes d'alertes ont une période fixe et ne croissent pas indéfiniment.