Avant de commencer avec Stellar Cyber et ses Fonctionnalités Clés

Essayons de comprendre ce qu’est un XDR, ses fonctionnalités et ses capacités.

XDR

XDR signifie extended Detection response; c’est un outil qui aide les entreprises à se protéger contre les cyberattaques en collectant des informations provenant de différentes parties de leur réseau (comme les ordinateurs, les e-mails, les applications et les services cloud) et en les centralisant en un seul endroit.

Imaginez que vous disposez d’un système de sécurité dans votre maison : une alarme à la porte, une autre aux fenêtres et des caméras à l’extérieur. Chacun de ces dispositifs peut détecter une anomalie, mais ils ne communiquent pas nécessairement entre eux. XDR fonctionne comme un système de sécurité intelligent qui relie tous ces dispositifs, de sorte que, si une intrusion se produit, le système sait exactement où elle se situe et peut réagir rapidement, quel que soit l’endroit de l’intrusion.

Points Clés Concernant le XDR :

1. Il surveille tout : Il collecte et surveille les données issues des ordinateurs, des réseaux, des services cloud et des e-mails, le tout en un seul lieu.
2. Il détecte les menaces plus rapidement : Il utilise une technologie intelligente (comme l’IA) pour identifier rapidement les problèmes, même si l’attaque se produit dans différents secteurs (par exemple, e-mail, ordinateur et réseau).
3. Il répond automatiquement : Lorsqu’il détecte une menace, il peut agir de façon autonome, par exemple en bloquant l’accès pour éviter des dommages supplémentaires.
4. Il facilite le travail des équipes de sécurité : Plutôt que d’utiliser des outils séparés pour chaque segment du système, XDR les intègre, économisant ainsi du temps et assurant un processus de sécurité plus fluide.

En résumé :

XDR est un outil qui rend la cybersécurité plus simple et efficace en combinant des données provenant de sources variées, en détectant les attaques plus rapidement et en réagissant promptement pour prévenir les dommages.

Qu’est-ce que Stellar Cyber ?

Stellar Cyber Open XDR est une plateforme permettant de réaliser la détection et la réponse aux menaces de bout en bout, en combinant plusieurs capacités – NG-SIEM, NDR, TIP, IDS, SOAR et UEBA – dans une expérience utilisateur unifiée.

Stellar Cyber permet aux équipes de sécurité d’avoir une visibilité complète sur leurs environnements IT, OT et de sécurité, avec une détection et une réponse automatisées sur l’ensemble des sources de données. Cela permet de repérer plus d’alertes rapidement, de préparer l’avenir des opérations de sécurité et de libérer des ressources pour des tâches de sécurité plus proactives.

Stellar Cyber est une plateforme unifiée pour les opérations de sécurité, offrant un point central pour rassembler et organiser les informations sur les menaces en unifiant données clés, outils et alertes pour l’analyse. La plateforme automatise également la détection des menaces (en utilisant l’IA et le machine learning) ainsi que la réponse (via la chasse automatisée aux menaces). Cela permet de réduire le bruit informationnel afin de ne pas être submergé et de se concentrer sur les menaces réelles. Vous pouvez même apprendre à l’outil à ne présenter que les informations qui vous intéressent réellement.

Pour mieux comprendre en termes simples :

Pensez à Stellar Cyber comme à un système de caméras de sécurité ultra intelligent, mais pour les ordinateurs et les activités en ligne de votre entreprise. Il surveille tout ce qui se passe sur le réseau – qui y accède, ce qui est téléchargé, et si quelque chose paraît suspect. En cas d’incident, comme une tentative d’intrusion par un hacker ou la diffusion d’un virus, il alerte rapidement les responsables afin qu’ils interviennent avant que des dommages ne surviennent. Il aide les entreprises à se protéger des dangers en ligne sans nécessiter une grande expertise technologique. Essentiellement, c’est comme avoir un gardien de haute technologie pour sécuriser vos actifs numériques.

Capacités :

1. Capteurs (incluant l’inspection approfondie des paquets, IDS, Sandbox pour Malware; pour NDR)
2. Intégrations bidirectionnelles
3. Data Lake / Modélisation de données
4. Moteur d’IA
5. Renseignement sur les menaces
6. Réponse automatisée

Système Ouvert :

Des centaines d’intégrations avec d’autres outils, produits et sources de données, incluant :

1. Tous les principaux EDR supportés
2. Tous les principaux fournisseurs de Cloud supportés
3. Tous les principaux fournisseurs d’identité supportés

Principaux Cas d’Utilisation de Stellar

Stellar Cyber Open XDR est une plateforme modulaire, ce qui signifie que vous pouvez choisir quelles fonctionnalités et capacités utiliser. Cependant, comme la plateforme est conçue pour des opérations de sécurité unifiées, elle est plus performante lorsqu’elle est déployée dans son intégralité. Voici quelques cas d’utilisation courants pour déployer Stellar Cyber et apporter de la valeur aux équipes de SecOps :

1. Plateforme SOC
2. Remplacement d’un SIEM hérité
3. Complément au SIEM
4. NDR

Terminologie de Stellar :

Stockage à Froid

Le stockage à froid dans Stellar Cyber permet de conserver des données basées sur des instantanés issus de votre Data Processor (DP) sur un autre serveur pour des analyses ultérieures. Vous pouvez importer ces données dans votre DP opérationnel ou dans un DP forensique dédié. Ce mode de stockage est utilisé pour l’archivage à long terme et consiste à transférer les données vers des niveaux d’archivage à moindre coût dans des solutions telles qu’AWS S3 et Microsoft Azure.

En termes simples, le stockage à froid dans Stellar signifie garder votre XLM (la cryptomonnaie de Stellar) hors ligne, à l’abri d’Internet, pour le protéger des hackers. C’est comparable à garder votre argent dans un coffre-fort, enfermé dans une chambre forte, loin de toute intrusion en ligne.

Connecteurs

Dans le cadre de la gestion et de l’archivage des données chez Stellar Cyber, les connecteurs sont des méthodes de collecte d’informations à partir de sources externes, qui sont ensuite compilées dans des enregistrements Interflow et stockées dans le Data Lake. Ces connecteurs sont développés en fonction des méthodes d’accès fournies par chaque source, généralement via une API. Ils s’exécutent sur le Data Processor (DP) pour récupérer activement les données selon un planning défini. Ils peuvent également répondre à des actions telles que le blocage d’un pare-feu ou la désactivation d’utilisateurs, et sont configurés avec des adresses IP et des identifiants d’autorisation pour se connecter aux sources de données.

En termes simples, les connecteurs sont comme des prises qui permettent aux différentes parties d’un système de sécurité d’envoyer leurs informations à Stellar Cyber pour une surveillance renforcée et une protection efficace contre les menaces.

Data Lake (DL)

Le Data Lake est le dépôt où Stellar Cyber stocke l’ensemble des informations. Les données y sont organisées en indices, qui sont des catégories servant à regrouper les informations afin de faciliter et d’optimiser leur recherche. Un indice « raw » conserve les données telles que recueillies par les capteurs ou collecteurs, tandis qu’un indice de sécurité contient des données enrichies issues d’un ou plusieurs indices raw. Le Data Lake constitue un élément central du système Stellar Cyber et peut être déployé dans un cluster avec un nœud principal et des nœuds secondaires pour augmenter la capacité et garantir la tolérance aux pannes.

En termes simples, pensez au Data Lake comme à une immense piscine où toutes les données de sécurité sont rassemblées, triées et analysées pour identifier d’éventuelles menaces ou problèmes. L’avantage principal est de disposer de toutes les informations en un seul lieu, facilitant l’analyse et la recherche au sein d’un réseau ou d’un système.

Data Analyzer (DA)

Le Data Analyzer (DA) est l’un des composants principaux du Data Processor de Stellar Cyber. Il est chargé d’ingérer les données issues des capteurs et des connecteurs, ainsi que de les enrichir. Chaque déploiement doit disposer d’au moins un DA, et d’autres peuvent être ajoutés pour augmenter la capacité et assurer une haute disponibilité. Les instances du DA peuvent être configurées à l’aide de profils réutilisables qui contiennent les paramètres de configuration. Le DA fait partie d’une architecture multinœud et multi-cluster garantissant scalabilité et fiabilité.

En termes simples, considérez le Data Analyzer comme un détective qui examine une grande quantité d’informations pour identifier toute anomalie, évitant ainsi un examen manuel minutieux, et vous alerte lorsque quelque chose de préoccupant se produit.

La Mise à Jour 5.4.0

Stellar Cyber a annoncé le lancement de la version 5.4.0 de sa plateforme Open XDR le 27 janvier 2025, apportant une série d’améliorations visant à optimiser la détection des menaces, la génération de rapports et la convivialité du système.

Points Clés de Stellar Cyber 5.4.0 :

1. Rapports Avancés et Analyses Approfondies :
2. La plateforme dispose désormais d’un moteur de rapports robuste permettant de générer des rapports PDF détaillés.
3. Un nouvel outil de planification offre un contrôle granulaire sur la livraison des rapports, améliorant la surveillance et la communication des indicateurs de sécurité.
4. Renseignement sur les Menaces Étendu :
5. Le support des hash de fichiers a été ajouté pour offrir une analyse plus fine des activités malveillantes connues et renforcer les capacités de détection de la plateforme.
6. Mode Silencieux Unifié :
7. Une expérience cohérente en mode silencieux est désormais disponible pour les détections basées sur des règles, le machine learning et les intégrations tierces, permettant aux équipes de peaufiner leurs stratégies sans générer d’alertes excessives.
8. Observables Améliorés pour le Mail et le Cloud :
9. Des visualisations améliorées et une meilleure corrélation des données offrent une compréhension plus claire des narrations de menaces, notamment dans les environnements d’e-mail et de cloud.
10. Corrélation Affinée des Domain Controller :
11. La logique de corrélation a été ajustée afin que les Domain Controller ne soient mis en avant que lorsqu’ils sont pertinents, réduisant ainsi les distractions causées par des évènements d’authentification routiniers.
12. Détection des Attaques Windows Basée sur le Réseau :
13. La plateforme peut désormais analyser le trafic SMB pour détecter des comportements suspects sans nécessiter de capteur sur un serveur Windows, renforçant ainsi la défense contre les attaques sur systèmes Windows.
14. Conservation de l’Historique des Emplacements et Alertes de Création de Comptes :
15. De nouvelles fonctionnalités permettent de suivre les mouvements inhabituels des utilisateurs et une augmentation soudaine de la création de comptes, facilitant la détection précoce de risques émergents.
16. Transfert de Logs pour Workstations :
17. Le transfert léger des logs depuis les systèmes Windows de type workstation est désormais supporté, facilitant les déploiements à faible empreinte via syslog sur les capteurs Windows Server.
18. Filtres d’Alertes pour Groupes de Tenants :
19. Les administrateurs peuvent créer des filtres pour exclure certaines alertes et les appliquer en masse pour plusieurs groupes de tenants, optimisant ainsi la gestion des alertes au sein de l’organisation.
20. Notifications du System Action Center :
21. La plateforme supporte désormais l’envoi de notifications individuelles depuis le System Action Center pour chaque événement correspondant, plutôt que des résumés consolidés, permettant une alerte plus précise.
22. Nouveaux Connecteurs :
23. Stellar Cyber a élargi ses capacités d’intégration avec de nouveaux connecteurs pour FortiEDR, Juniper Mist, WithSecure Elements, Abnormal Security Email Security, Versa Networks Concerto, AWS Inspector, Trend Micro Email Security, NetFoundry, Fortra Frontline et Google Cloud Security Command Center.

Actions Requises :

Il est recommandé aux utilisateurs de passer à la configuration par plage horaire pour les requêtes qui s’appuient sur la fonction de limite temporelle afin d’en améliorer l’efficacité. Par ailleurs, pour supporter les nouveaux processus permettant d’activer ou de désactiver certaines fonctionnalités et corrections, assurez-vous que les composants du Data Lake (DL) et du Data Analyzer (DA), ainsi que les navigateurs web des utilisateurs, puissent établir des connexions HTTPS avec des domaines spécifiques de Stellar Cyber. Sans accès à ces URL, la plateforme fonctionnera, mais certaines fonctionnalités ou corrections pourraient ne pas être disponibles.

Changements Comportementaux :

La logique de corrélation pour les Domain Controller a été affinée afin d’éviter qu’ils ne soient signalés lors d’activités d’authentification de routine, réduisant ainsi les alertes superflues.

Pour obtenir la liste complète des mises à jour, y compris les fonctionnalités obsolètes, les améliorations en détection et en machine learning, les améliorations ergonomiques, les mises à jour de la plateforme, les ajouts de capteurs et connecteurs, les modifications des parseurs, ainsi que les notes opérationnelles, corrections de bogues et problèmes connus, il est recommandé de consulter l’ensemble des notes de version.

Stellar Cyber 5.4.0 représente une avancée significative dans les capacités de la plateforme, offrant aux utilisateurs des outils et des intégrations améliorées pour renforcer leur posture en cybersécurité.

Référence : Notes de version Stellar Cyber 5.4.0

Auteurs : Wafa Haoues, Sneha Bangalore, Emma Vappereau