Palo Alto Networks étoffe sa plateforme Cortex XSIAM
mars 2023 par Marc Jacob
Palo Alto Networks annonce la disponibilité de son nouveau module ITDR (Identity Threat Detection and Response) pour Cortex® XSIAM™. Le module ITDR permet aux clients d’importer des données relatives à l’identité et au comportement des utilisateurs et de déployer une technologie d’Intelligence Artificielle (IA) pour détecter en quelques secondes les attaques centrées sur les identités. Ce module renforce encore la capacité de XSIAM à regrouper plusieurs fonctionnalités dédiées aux opérations de sécurité dans une plateforme SOC (Security Operations Center) unifiée, pilotée par l’IA.
Les attaques centrées sur les identités, qui ciblent les informations d’authentification des utilisateurs pour accéder aux données confidentielles et aux systèmes, sont l’une des méthodes les plus couramment utilisées par les cybercriminels pour pirater les réseaux des entreprises. Ces dernières années par exemple, le groupe de hackers Lapsus$ s’est servi d’identifiants de comptes à accès privilégié pour attaquer divers services officiels ainsi que plusieurs grandes entreprises technologiques.
Le module ITDR charge et intègre les données relatives au comportement des utilisateurs, comme les durées habituelles de travail d’un collaborateur, les applications et données auxquelles il accède régulièrement. Le traitement des données s’opère à partir de diverses sources : services d’authentification, fichiers-journaux des postes de travail, données d’identification cloud, données d’e-mail et RH, sans oublier les réseaux, les systèmes d’exploitation et les sources spécifiques. Les modèles d’IA intégrés peuvent ensuite être entraînés à signaler les activités suspectes à partir de comportements inattendus des utilisateurs, prenant ainsi une longueur d’avance sur les risques internes importants, tels que les manipulations de configuration ou de fichiers et la modification d’autorisations.
En plus de renforcer la sécurité, l’ajout du module ITDR à Cortex XSIAM réduit encore la complexité du centre des opérations de sécurité (SOC) en intégrant étroitement l’analyse d’identité dans une plateforme SOC unifiée. Cortex XSIAM intègre d’ores et déjà en mode natif la gestion des informations et événements de sécurité (SIEM), la détection des menaces et la réponse aux incidents sur les postes de travail (EDR), la détection des menaces et la réponse aux incidents sur le réseau (NDR), l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR), la gestion de la veille contre les cybermenaces (TIM) et la gestion de la surface d’attaque (ASM), autant de fonctionnalités se substituant à de multiples solutions ponctuelles.