La solution Qualys Indication of Compromise IOC 2.0 est lancée
juillet 2019 par Marc Jacob
Qualys Inc. annonce une mise à jour majeure de sa solution Indication of Compromise (IOC), une application intégrée à Qualys Cloud platform.
Atouts des fonctionnalités de détection, d’analyse et de réponse de Qualys IOC 2.0 :
Un moteur d’évaluation comportemental qui hiérarchise les réponses
Bien souvent, les analystes en sécurité perdent un temps précieux à traquer des faux positifs, des alertes fantômes et des infections à base de codes malveillants bénignes en utilisant des solutions qui ne fournissent qu’une seule dimension de notation. Le nouveau moteur de notation des incidents de Qualys IOC tient compte d’attributs comportementaux supplémentaires, notamment l’analyse des fichiers, l’état des processus ainsi que les connexions réseau afin de hiérarchiser les réponses à mettre en place en fonction du comportement de l’attaque sur le réseau. Les analystes en sécurité peuvent ainsi réagir en premier lieu aux attaques les plus critiques.
Une meilleure détection des attaques grâce à une source commerciale d’informations sur les menaces et sur la réputation des fichiers
Qualys IOC étend la détection des attaques malveillantes, suspectes et sans fichier que les agents antivirus ne parviennent souvent pas à détecter, et ce grâce à une intégration native à la plateforme d’un fournisseur majeur d’informations sur les menaces et sur la réputation des fichiers. Cette extension permet de renforcer la détection des attaques sans les coûts ni la complexité d’autres solutions qui corrèlent des événements au sein de systèmes SIEM externes mais qui sont incapables de s’adapter au volume d’événements liés aux attaques modernes.
Des vues en temps réel et historiques des caractéristiques d’une attaque pour accélérer son analyse et sa résolution
Propulsée par les clusters Elasticsearch hautement dimensionnables de Qualys, l’application IOC stocke désormais des mesures brutes de télémétrie et des indicateurs de post-traitement des attaques dans plusieurs dimensions, le tout à l’aide d’index d’états historiques et en temps réel. Les analystes en sécurité peuvent ainsi répondre et réagir rapidement aux deux questions les plus importantes pour accélérer les recherches et la réaction à apporter, à savoir : « L’attaque est-elle toujours en cours sur mon réseau ? » et « À quel moment cela s’est-il déjà produit ? ».
Une plateforme de réponse en temps réel pour lancer des alertes et des actions
Les analystes peuvent créer des alertes et des notifications qui seront envoyées par un nouveau microservice de la plateforme de réponse afin d’obtenir les informations critiques nécessaires à l’analyse et à la remédiation des incidents dès leur survenue. Les alertes sont faciles à gérer grâce au même langage de requête Qualys Query Language (QQL) que celui déjà utilisé par les analystes en sécurité pour lancer des recherches quasi-immédiates dans le cadre de la traque aux menaces, d’investigations et pour les assistants de tableau de bord. Les premières réactions sont la diffusion d’alertes par email, l’intégration aux systèmes de gestion des tickets d’incident, la publication sur les canaux Slack ainsi que des notifications d’incidents sous PagerDuty. D’autres modes de réaction seront proposés au cours de l’année.
API et intégration à l’écosystème
L’API publique de Qualys IOC facilite l’intégration à un système SIEM tiers, aux plateformes d’information sur les menaces, aux systèmes de traitement/réponse aux incidents, aux plateformes d’orchestration de la sécurité et de réponse automatisée et aux systèmes de gestion des tickets d’incident IT afin d’automatiser un partage rapide d’informations sur les menaces avec les plateformes de sécurité et d’exploitation informatique. Le support du module supplémentaire Qualys Technology Add-on (TA) pour Splunk sera disponible en septembre.
Disponibilité et prix
L’application Cloud IOC de Qualys est disponible dès maintenant. Les tarifs sont fonction du nombre d’actifs sur lesquels l’agent Qualys Cloud Agent est installé avec un abonnement annuel qui commence à partir de 2995 euros .