En tant que personne relativement inexpérimentée en matière de chasse aux menaces réseau, je souhaitais acquérir une expérience pratique de l'utilisation d'un système de détection et de réponse réseau (NDR). Mon objectif était de comprendre comment le NDR est utilisé dans la recherche et la réponse aux incidents, et comment il s'intègre dans le flux de travail quotidien d'un centre d'opérations de sécurité (SOC).
Le logiciel Investigator de Corelight, qui fait partie de sa plateforme Open NDR, est conçu pour être convivial (même pour les analystes débutants), j'ai donc pensé qu'il me conviendrait parfaitement. J'ai eu accès à une version de production d'Investigator qui avait été chargée avec un trafic réseau préenregistré. Il s’agit d’une manière courante d’apprendre à utiliser ce type de logiciel.
Bien que je sois nouveau dans la chasse aux menaces, j'ai de l'expérience dans l'analyse des flux de trafic réseau. J'ai même été l'un des premiers utilisateurs de l'un des premiers analyseurs de trafic réseau appelé Sniffer. Les renifleurs étaient des PC spécialisés équipés d'adaptateurs réseau conçus pour capturer le trafic et les paquets. Ces ordinateurs constituent la base sur laquelle des plates-formes de surveillance de réseau plus avancées ont été construites. Au milieu des années 1980, ces outils étaient coûteux et nécessitaient beaucoup de formation. Interpréter les données laconiques et énigmatiques qu’ils produisaient était un défi, et savoir comment traduire ces informations en prochaines étapes concrètes a demandé de la patience et de l’expertise. Aujourd'hui, près de quarante ans plus tard, je voulais voir comment les équipes de sécurité menaient quotidiennement leur chasse au réseau alors que les attaques complexes et rapides sont la norme, et avec quelle rapidité je pouvais adopter les nouveaux outils.
Avant de me lancer dans mon expérience, permettez-moi d'expliquer comment NDR s'intègre au SOC.
Les systèmes NDR sont le plus souvent utilisés par les opérations de sécurité de niveau intermédiaire à élite. Dans ces environnements, le rapport de non-remise constitue un élément clé des flux de travail de réponse aux incidents et de chasse aux menaces. Les systèmes offrent une visibilité approfondie sur les réseaux tout en détectant également les intrusions et les anomalies. Cette visibilité est importante non ...
[Courte citation de 8% de l'article original]