Alertes et Remédiation : décryptez vos alertes de sécurité

 

Les plateformes Clouds sont volubiles !

Les journaux générés par les différents services & plateformes sont verbeux. Les outils de surveillance déployés et SIEM appréhendent parfois difficilement la corrélation. Cette situation aboutit donc à de nombreuses « alertes de sécurité » que vos équipes doivent décrypter.

Des équipes SOC inondées par les clouds

Qu’il s’agisse de « lift & shift », de containerisation ou encore de développements serverless, le cloud public génère une volumétrie de logs. Leur caractérisation et corrélation diffèrent totalement des environnements classiques. Par conséquent, le paramétrage des SIEM est un challenge majeur !

A défaut d’une bonne sélectivité, les SOC clients doivent faire face à de nombreux évènements à qualifier manuellement. Chaque mesure de protection implique une connaissance technique fine aux services clouds. L’offre Alertes et Remédiation répond donc à cette problématique en apportant une qualification d’incident sur des plateformes managées par des équipes client ou tiers.

Security champion

 

Une base & deux étages de propulsion

L’analyse d’une alerte de sécurité requiert de disposer :

  • D’un connaissance projet (architecture, flux & droits)
  • D’un contexte (ensemble de logs entourant l’incident)

1

Observation

3

Qualification

3

Remédiation

La complexité de qualification des évènements de sécurité est proportionnelle à la plateforme.

L’équipe maintient droits & services pour un accès continu.

 

Chaque « incident » constitue un contexte : multiples logs & états.

L’équipe analyse donc ce contexte pour déterminer si le risque détecté est un faux positif ou incident avéré.

Selon le statut d’incident, l’équipe propose une configuration de protection adaptée ou une adaptation de vos filtres / triggers SIEM afin d’améliorer vos détections.

 

Amélioration continue de la sécurité

Connaissance partagée

La réactivité et la qualité de réponse/proposition des équipes dépend de leur connaissance des infrastructures. C’est pourquoi, la phase de revue d’architecture, documentation et partage d’outils sécurise la mission.

Rapidement faire le tri !

Chaque contexte d’alerte est étudié en gestion de risque. Son traitement est directement proportionnel à la complexité de la plateforme et à la volumétrie d’alertes soumises.

Equipe « cloud & security »

Les équipes NBS System suivent régulièrement les technologies, identifient les scenarii d’attaques cloud puis parcourent les croquis de plateformes clients pour maintenir leurs connaissances des flux & services exposés.

Amélioration & R.O.I

Les remédiations proposées ont pour objectif de mieux protéger vos plateformes ou réduire les fauxpositifs de vos SIEM. Vous contribuez ainsi à réduire le coût de traitement de la sécurité du projet.

 

Pour plus d’information, contactez notre service commercial