Détection automatisée grâce à tous vos renseignements
Détectez en permanence les cybermenaces dans votre réseau en automatisant la détection grâce à l’ensemble de vos renseignements et de votre télémétrie.
Accélérez la détection des menaces
Anomali Match exploite tous les renseignements disponibles et la télémétrie pour assurer une détection exhaustive des menaces à la vitesse de la machine. Vous bénéficiez d’un délai moyen de détection plus court, d’une réduction du coût des incidents de sécurité et d’une plus grande efficacité des opérations de sécurité.
Détectez toutes les menaces dans votre environnement
Détectez les menaces à l’aide de toutes les données disponibles
Match utilise tous vos renseignements actifs sur les menaces et les met en corrélation avec tous vos journaux d’événements afin d’identifier en permanence les signes d’activités malveillantes sur votre réseau.
Détectez les menaces récemment découvertes sur votre réseau
Match analyse en permanence les données des journaux historiques par rapport aux nouveaux renseignements sur les menaces afin de découvrir des traces des failles passées.
Classez vos interventions en cas de menace par ordre de priorité en fonction de la valeur des ressources et du risque
Match évalue les observations de menaces en fonction de la valeur des ressources, de la vulnérabilité et de la gravité des menaces, ce qui permet un triage et une intervention en fonction du risque.
Automatisez la détection des menaces en utilisant toute la télémétrie et les renseignements disponibles sur les menaces
Les solutions de gestion des SIEM et des journaux sont limitées en ce qui concerne le volume des IOC et des journaux d’événements qu’elles peuvent stocker et rechercher, ce qui rend difficile l’identification de chaque menace potentielle à laquelle une organisation peut être confrontée.
Match est conçu pour détecter les menaces connues à grande échelle à l’aide de l’analyse de données et de l’apprentissage par machine afin de corréler en permanence des volumes massifs de journaux d’événements avec tous vos renseignements actifs sur les menaces.
- Mettez continuellement en corrélation des dizaines de millions d’IOC avec des milliards d’événements
- Identifiez les indicateurs de menace, les TTP, les agents, les vulnérabilités ou les bulletins de menaces dans les journaux d’événements
- Alertez automatiquement vos systèmes SIEM, SOAR ou de tickets
Répondez à la question cruciale : « Avons-nous été affectés ? »
Lorsqu’une nouvelle menace est découverte quelque part, il peut être long et coûteux de consulter les journaux historiques pour savoir si vous avez été compromis.
Match vous indique en quelques secondes si un indicateur de menace était présent dans vos données sur les événements historiques des mois ou des années précédents.
- Recherchez des journaux d’événements historiques remontant à cinq ans ou plus
- Recherchez des indicateurs de menace, des TTP, des agents, des vulnérabilités ou des bulletins de menaces
- Renvoyez toutes les correspondances de menace en quelques secondes
- Envoyez ces correspondances à votre système SIEM, de tickets ou SOAR
Établissez un ordre de priorité des interventions en fonction de la valeur des ressources, de la vulnérabilité et de la gravité de la menace
Après avoir identifié des comportements malveillants dans votre réseau, il peut être difficile de décider quelles sont les menaces les plus importantes à traiter en premier lieu.
Anomali Match intègre les données d’analyse des ressources et des vulnérabilités dans vos résultats de détection des menaces, ce qui permet à vos analystes d’établir des priorités dans les résolutions en fonction du risque.
- Identifiez immédiatement les principales ressources qui présentent des activités malveillantes
- Établissez un ordre de priorité des interventions en fonction de la valeur des ressources, de la vulnérabilité et de la gravité de la menace
- Retracez les activités malveillantes jusqu’au point de départ de l’intrusion et examinez une chronologie des compromissions.
Identifiez les robots de votre réseau qui se connectent aux serveurs C&C
De nombreux réseaux de robots masquent les communications vers leurs serveurs de « commande et contrôle » (C&C) en utilisant des algorithmes de génération de domaines (DGA) pour contourner les listes de blocage d’adresses IP.
Match a recours à un modèle d’apprentissage machine avancé pour prévoir les domaines malveillants et les identifier dans vos journaux d’événements.
- Identifiez les événements dans lesquels des domaines DGA ont été découverts.
- Identifiez la famille de logiciels malveillants susceptible d’avoir généré les domaines DGA.
- Identifiez les ressources qui communiquent par le biais du domaine DGA.
Recherchez les menaces par agent, par bulletin de menaces ou par vulnérabilité
Les pirates sophistiqués ont appris à modifier les IOC de manière dynamique pour contourner les détections, mais il est difficile de changer les tactiques, les techniques et les procédures (TTP).
Match permet à vos équipes de sécurité d’identifier les menaces dans votre environnement en se fondant sur les TTP, les agents, les campagnes, les bulletins de menaces et les vulnérabilités. Une fois qu’un agent de menace est identifié dans votre réseau, vous pouvez analyser les TTP à l’aide du cadre MITRE ATT&CK et des cartes.
- Recherchez les intrusions dans votre environnement par agent de menace, TTP, bulletin de menaces, campagne ou vulnérabilité
- Afficher les détails de l’événement correspondant, notamment le temps de séjour, la gravité et la source/destination de l’événement
- Analysez les tactiques, techniques et procédures (TTP) d’un agent sélectionné dans la carte du cadre MITRE ATT&CK
Trouvez le « patient zéro »
Après une infection par un logiciel malveillant, de nombreuses organisations se lancent dans une traque sans fin. Elles savent qu’elles sont infectées, prennent des mesures pour enrayer l’infection, mais celle-ci réapparaît sans cesse.
Match automatise le processus de recherche du patient zéro, ce qui vous permet d’identifier comment l’infection a commencé, qui est le plus à risque et depuis combien de temps l’infection est active.
- Retracez les activités malveillantes jusqu’au point de départ de l’intrusion
- Voir la chronologie des événements correspondant à un indicateur
- Déterminez l’ampleur de l’attaque sur tous vos hôtes et terminaux
- Envoyez ces correspondances à votre système SIEM, de tickets ou SOAR à des fins de résolution
Recherche de menaces à partir d’hypothèses
Les personnes chargées de détecter les menaces doivent trouver les adversaires déjà présents dans le système, mais il leur manque souvent les outils de recherche et l’accès nécessaires pour identifier les activités malveillantes.
Match permet aux traqueurs de menaces de partir d’un indicateur de menace initial pour explorer ses relations et associations avec d’autres agents, campagnes, TTP, bulletins de menaces et vulnérabilités.
- Commencez par un adversaire connu et trouvez des adversaires précédemment inconnus qui lui sont associés
- Confirmez une intuition ou répondez à une question, par exemple le nombre d’indicateurs de fichiers associés à une vulnérabilité
- Basculez, développez et explorez visuellement les relations et les associations de chaque indicateur.
- Améliorez les indicateurs grâce aux services de renseignement WhoIs, VirusTotal, PassiveDNS et Symantec
Programmez une démo produit en direct et découvrez de quelle manière Anomali exploite toute la puissance des renseignements pertinents afin d’accélérer la détection des menaces, les investigations et les interventions.