Qu'est-ce que la gestion de la détection et de la réponse (MDR) ?

Quelle est l'importance du MDR dans le domaine de la cybersécurité ?

Les menaces de cybersécurité sont de plus en plus sophistiquées et répandues, ce qui fait que les équipes de sécurité internes ont du mal à suivre. Voici les défis qu'un service MDR peut relever :

• Contraintes de ressources : De nombreuses organisations ne disposent pas de l'expertise et des ressources internes nécessaires pour surveiller efficacement l'ensemble de leur réseau afin de détecter les menaces avancées. MDR leur donne accès à une équipe d'experts en sécurité qualifiés.
• Pénurie de talents dans le domaine de la cybersécurité : Le manque de compétences en matière de cybersécurité est une préoccupation croissante. Le MDR vous permet de tirer parti de l'expertise d'un fournisseur de services de sécurité gérés sans avoir à embaucher et à former une équipe de sécurité dédiée.
• Protection contre les menaces 24 heures sur 24, 7 jours sur 7 : Les cybermenaces ne font pas de pause. MDR offre une surveillance et une réponse permanentes, 24 heures sur 24, 7 jours sur 7, garantissant ainsi la protection de vos systèmes 24 heures sur 24.
• Détection Advanced : le MDR utilise des outils et des techniques de sécurité sophistiqués tels queles renseignements sur les menaces,endpoint detection and response EDR) et l'analyse comportementale pour identifier et bloquer même les menaces les plus récentes.
• Des temps de réponse plus rapides : Lorsqu'un incident de sécurité se produit, une réponse rapide est essentielle. Un fournisseur de MDR dispose de l'expertise et de l'expérience nécessaires pour enquêter rapidement sur des menaces sophistiquées et les contenir, afin de minimiser les dommages.

En quoi les services de gestion de la sécurité diffèrent-ils des services traditionnels de gestion de la sécurité ?

La différence fondamentale entre la détection et la réponse gérées (MDR) et les services de sécurité gérés traditionnels réside dans leurphilosophie fondamentaleetleur approche opérationnelle. Les fournisseurs de services de sécurité gérés (MSSP) traditionnels fonctionnent selon un modèle réactif, axé sur la conformité, qui met l'accent sur la gestion technologique, la collecte de journaux et la génération d'alertes lorsque des règles prédéfinies sont déclenchées. Leur succès se mesure à l'aune du respect des exigences réglementaires et de la tenue de journaux complets plutôt qu'aux résultats concrets en matière de sécurité. Les services MDR, en revanche, adoptent une mentalité proactive « présumant la violation » qui recherche activement les menaces et se concentre sur la détection, l'investigation et la neutralisation des attaques réelles. Le succès des services MDR se mesure par les violations évitées et l'impact minimal sur l'activité, ce qui représente une évolution de la question « Sommes-nous conformes ? » à « Sommes-nous en sécurité ? ».

Les capacités opérationnellesetles modèles d'expertiserévèlent des différences significatives en termes de sophistication et d'efficacité. Les MSSP traditionnels s'appuient fortement surla détection basée sur les signatures, les alertes basées sur des seuils et des analystes de niveau 1 qui effectuent principalement le triage des alertes à l'aide de playbooks prédéfinis, avec des capacités d'investigation approfondie limitées et une réponse active minimale au-delà de la notification du client. Les solutions MDR s'appuient sur des analyses comportementales avancées, l'apprentissage automatique, l'intégration en temps réel des renseignements sur les menaces et des chasseurs de menaces de niveau expert qui effectuent des analyses médico-légales complètes, threat hunting de manière proactive threat hunting et prennent des mesures directes pour les contenir et les neutraliser. Cela comprend une analyse de corrélation sophistiquée entre plusieurs sources de données, des enquêtes basées sur des hypothèses qui supposent que les attaquants sont déjà présents et des stratégies de réponse adaptatives adaptées aux caractéristiques spécifiques des menaces.

L'intégration technologiqueetles approches de prestation de servicesdifférencient encore davantage ces modèles. Les MSSP traditionnels exploitent généralement des environnementsSOCpartagés, centrés sur le SIEM, avec des services standardisés et des rapports génériques axés sur les mesures de conformité et l'analyse historique. Ils emploient des stratégies de remédiation réactives dans lesquelles les organisations restent responsables de leur propre récupération après incident à la suite de mesures de confinement de base. Les solutions MDR utilisent des plateformesde détection et de réponse étendues (XDR)qui offrent une visibilité globale sur les terminaux, les réseaux, le cloud et les applications, fournissant des services sur mesure avec une expertise dédiée, des accords de niveau de service basés sur les résultats et une remédiation complète, y compris l'éradication des menaces de bout en bout et la récupération guidée par des experts.Les structures de coûtsetles propositions de valeurreflètent ces différences fondamentales dans l'approche et les résultats. Tarifs traditionnels des MSSP Tarifs généralement basés sur des facteurs technologiques tels que le volume des journaux, le nombre d'appareils ou la taille de l'infrastructure, avec des propositions de valeur axées sur l'efficacité opérationnelle et la conformité réglementaire grâce à des frais mensuels fixes prévisibles. Les services MDR mettent en œuvre Tarifs basés sur les résultats, Tarifs sur la réduction mesurable des menaces et l'efficacité de la sécurité, avec des propositions de valeur centrées sur la protection des entreprises, l'atténuation des risques et un retour sur investissement démontrable grâce à des incidents évités quantifiables. Cette évolution, qui passe de services de conformité axés sur la technologie à des services de sécurité axés sur les résultats, reflète la réponse du secteur de la cybersécurité auxmenaces persistantes avancéeset la reconnaissance du fait que les attaquants déterminés finiront par contourner les mesures de sécurité statiques, ce qui nécessite une approche plus proactive et axée sur les menaces des services de sécurité gérés.

Comment fonctionne le MDR

La détection et la réponse gérées (MDR) offrent une protection continue et permanente contre les menaces pour vos terminaux grâce à la surveillance, la détection, l'investigation et la correction par des experts en sécurité. UnesolutionEndpoint Detection and Response EDR)est associée à l'intelligence humaine afin de hiérarchiser les menaces les plus critiques et d'accélérer les réponses en conséquence, même lorsque votre équipe informatique n'est pas disponible. 

Une fois les agents de terminaux déployés, le service MDR est activé en quelques minutes et les analystes de sécurité MDR peuvent surveiller vos terminaux. Les données de détection sont intégrées à la plateforme MDRSecurity Information and Event Management (SIEM)etSecurity Orchestration, Automation, and Response (SOAR), où elles sont enrichies par des flux d'informations internes et externes sur les menaces. Ce processus accélère l'identification, l'analyse et le triage (hiérarchisation et investigation) des événements de sécurité. 

À ce stade, la plateforme MDR SIEM/SOAR vérifie si les alertes d'activité suspecte correspondent à des menaces réelles ou à des détections bénignes et peut augmenter le niveau de gravité de certaines détections EDR en fonction des informations avancées sur les menaces. Les cas qui nécessitent une correction sont traités par l'analyste ou des conseils vous sont fournis, à vous ou au MSP, si vous avez choisi d'effectuer vos propres actions de correction.
Les principales fonctionnalités du MDR sont les suivantes :

• Détection et hiérarchisation des menaces
  La hiérarchisation gérée des menaces soulage les équipes informatiques du monde entier d'un problème courant, à savoirla fatigue liée aux alertes, en réduisant considérablement le volume d'alertes à examiner. Une fois les menaces détectées, le MDR consulte la vaste base de données du service de renseignements sur les menaces pour trouver les données pertinentes. Ces données, qui peuvent inclure des informations provenant de diverses solutions antivirus et de soumissions d'utilisateurs, aident à évaluer la légitimité de l'alerte, en clarifiant si celle-ci représente une menace réelle ou un faux positif. En bref, la hiérarchisation des menaces aide votre équipe à déterminer quelles menaces traiter en priorité. 
• Threat Hunting
  Contrairement à la détection des menaces, la recherche gérée threat hunting n'est pas une approche réactive. Ce processus est plutôt mené par des chasseurs de menaces humains hautement qualifiés dans la recherche d'anomalies sur les réseaux, les systèmes et les appareils afin de rechercher de manière proactive les menaces. Ces menaces avancées ont souvent réussi à infiltrer les couches de sécurité initiales des terminaux sans être détectées.
• Investigation et analyse
  L'investigation et l'analyse gérées sont l'occasion pour MDR de passer d'une surveillance passive à une veille active sur les menaces, en servant de pont critique entre la détection et la réponse. Les analystes fournissent à votre organisation un contexte supplémentaire sur les menaces critiques, vous aidant à comprendre les menaces plus rapidement et à planifier une réponse appropriée.
• Réponse guidée
  La réponse guidée vous envoie des informations détaillées sur les mesures correctives directement par SMS et par courrier électronique. Ces informations fournissent des détails supplémentaires sur la menace identifiée, expliquant ce qui a été trouvé, pourquoi elle est considérée comme prioritaire, et des étapes simples sur la façon d'y remédier. Vous n'êtes pas seulement alerté des menaces, vous disposez également des informations nécessaires pour prendre des mesures décisives.
• Remédiation
  La remédiation gérée traite activement les menaces dès qu'elles sont découvertes, réduisant ainsi la durée de l'attaque et l'impact ultérieur. Les équipes de réponse aux incidents de MDR travaillent 24 heures sur 24 pour garantir la sécurité de votre réseau contre les menaces actuelles et futures.

Méthodes d'intégration des MDR dans l'infrastructure de sécurité existante

Les services de détection et de réponse gérés sont conçus pour améliorer et compléter l'infrastructure de sécurité existante plutôt que de la remplacer entièrement. Une intégration réussie des services MDR nécessite une planification minutieuse afin de garantir un flux de données transparent, une perturbation opérationnelle minimale et une valeur de sécurité maximale. Les organisations peuvent choisir parmi plusieurs approches d'intégration en fonction de leur infrastructure actuelle, de leur maturité en matière de sécurité et de leurs besoins opérationnels.

Approches d'intégration primaire

• 
  d'intégration basée sur des agents L'intégration basée sur des agents est la méthode de déploiement MDR la plus courante. Elle implique l'installation d'agents logiciels légers sur les terminaux de l'ensemble de l'organisation.
• Processus de mise en œuvre :le fournisseur MDR déploie des agents propriétaires sur les postes de travail, les serveurs et autres terminaux. Ces agents collectent des données télémétriques, notamment sur l'exécution des processus, les connexions réseau, les modifications de fichiers et les événements système. Les agents fonctionnent généralement avec un impact minimal sur le système, consommant moins de 2 % des ressources système tout en offrant une visibilité complète.
• Avantages :cette approche offre une visibilité approfondie sur les terminaux grâce à des capacités de collecte de données granulaires. Elle permet une surveillance et une réponse en temps réel directement au niveau des terminaux. Le déploiement est relativement simple grâce aux mécanismes de distribution de logiciels existants, tels que la stratégie de groupe ou les plateformes de gestion des appareils mobiles.
• Considérations :les organisations doivent gérer le déploiement des agents sur des milliers de terminaux potentiels. Il peut y avoir des considérations de compatibilité avec endpoint protection existantes, et certains environnements ont des politiques strictes contre l'installation d'agents supplémentaires.
• 
  d'intégration basée sur l'API L'intégration de l'API exploite les interfaces natives des outils de sécurité existants pour collecter et analyser les données de sécurité sans nécessiter l'installation de logiciels supplémentaires.
• 
  du processus de mise en œuvre Le service MDR se connecte aux outils de sécurité existants via leurs API, notamment les plateformes SIEM, les pare-feu, les systèmes de détection d'intrusion et les services de sécurité cloud. Cela permet de créer un cadre unifié de collecte et d'analyse des données qui s'appuie sur les investissements actuels.
• Sources de données
  Les intégrations API courantes comprennent les données de journal SIEM, les journaux de trafic du pare-feu, les journaux de requêtes DNS, les événements de sécurité de la plateforme cloud, les alertes de la passerelle de sécurité des e-mails et les résultats du scanner de vulnérabilité. Le service MDR normalise et corrèle ces données afin d'identifier les menaces qui pourraient échapper aux outils individuels.
• Avantages d'
  Cette approche optimise les investissements existants en matière de sécurité tout en minimisant les changements d'infrastructure. Elle réduit le besoin de déploiements supplémentaires de matériel ou de logiciels et peut offrir une visibilité plus large du réseau grâce à plusieurs sources de données.
• Considérations L'intégration de l'API
  nécessite une authentification et une gestion des accès appropriées. Le formatage et la normalisation des données peuvent s'avérer complexes lors de l'intégration de solutions provenant de plusieurs fournisseurs. Certains systèmes hérités peuvent avoir des capacités API limitées, voire inexistantes.
• Modèles d'intégration hybrides
  De nombreuses organisations mettent en œuvre des approches hybrides qui combinent plusieurs méthodes d'intégration afin d'obtenir une couverture complète.
• 
  de combinaison réseau et terminaux Les organisations peuvent déployer des agents sur les terminaux critiques tout en utilisant la surveillance réseau pour une analyse plus large du trafic. Cela permet d'obtenir à la fois une visibilité approfondie des terminaux et une couverture réseau complète sans avoir besoin d'agents sur chaque appareil.
• 
  d'intégration cloud et sur site Les approches hybrides modernes incluent souvent la protection des charges de travail dans le cloud en plus de la surveillance traditionnelle sur site. Cela garantit une couverture de sécurité cohérente dans les environnements cloud hybrides et offre des capacités unifiées de détection des menaces.

Considérations techniques de mise en œuvre

• 
  de l'architecture du flux de données Une intégration réussie du MDR nécessite une planification minutieuse du flux de données depuis les points de collecte jusqu'au centre des opérations de sécurité du fournisseur MDR. Cela implique généralement des protocoles de transmission de données sécurisés, une compression des données afin de minimiser l'impact sur la bande passante et des capacités de streaming en temps réel pour une détection immédiate des menaces.
• 
  s requises pour le réseau Les organisations doivent garantir une bande passante suffisante pour assurer la continuité de la transmission des données télémétriques. La plupart des services MDR nécessitent entre 10 et 50 Mo par jour et par terminal, mais cette quantité peut varier considérablement en fonction de l'activité du terminal et du niveau de surveillance.
• 
  des contrôles de sécurité Toutes les transmissions de données doivent être cryptées pendant leur transit, généralement à l'aide du protocole TLS 1.2 ou supérieur. Les mécanismes d'authentification doivent être robustes et impliquer souvent une authentification par certificat ou des clés API sécurisées. Les exigences en matière de souveraineté des données peuvent dicter des exigences spécifiques en matière de traitement des données géographiques.
• Intégration avec la pile de sécurité existante
  Les services MDR doivent s'intégrer efficacement à l'infrastructure de sécurité existante afin d'éviter les conflits opérationnels et d'optimiser les capacités de détection.
• 
  d'intégration SIEM La plupart des fournisseurs MDR peuvent s'intégrer aux plateformes SIEM existantes afin d'offrir des capacités d'analyse et de corrélation améliorées. Cela permet aux entreprises de conserver leurs infrastructures actuelles de journalisation et de conformité tout en ajoutant des capacités avancées de détection des menaces.
• Workflows de réponse aux incidents L'intégration d'
  doit s'aligner sur les procédures de réponse aux incidents et les systèmes de ticketing existants. De nombreux fournisseurs de MDR proposent une intégration avec des plateformes ITSM populaires telles que ServiceNow, Jira ou des solutions de ticketing personnalisées afin de garantir des workflows opérationnels fluides.
• 
  Advanced partage des informations sur les menaces Les intégrationsAdvanced comprennent le partage bidirectionnel des informations sur les menaces, dans le cadre duquel le fournisseur MDR partage les indicateurs de compromission tout en recevant des informations sur les menaces spécifiques à l'organisation afin d'améliorer la précision de la détection.

Modèles d'intégration opérationnelle

• 
  de sécurité co-gérées Dans les modèles co-gérés, le fournisseur MDR travaille en collaboration avec les équipes de sécurité internes, avec des responsabilités et des procédures d'escalade clairement définies.
• Répartition des responsabilités
  Le fournisseur MDR se charge généralement de la détection initiale des menaces, du triage et de l'investigation, tandis que les équipes internes gèrent les mesures correctives, les mises à jour des politiques et les décisions stratégiques en matière de sécurité. Ce modèle permet aux organisations de garder le contrôle tout en bénéficiant d'une expertise spécialisée.
• Protocoles de communication
  Pour assurer l'efficacité des opérations cogérées, il est nécessaire de mettre en place des canaux de communication, des réunions d'information régulières et des procédures d'escalade claires. De nombreuses organisations mettent en place des tableaux de bord partagés et des revues opérationnelles régulières afin de garantir la cohérence.
• 
  d'opérations entièrement gérées Certaines organisations optent pour des services MDR entièrement gérés, dans lesquels le fournisseur prend en charge l'ensemble du cycle de détection et de réponse.
• 
  relatives à l'étendue des services Les services entièrement gérés comprennent généralement threat hunting, l'investigation des incidents, les mesures initiales de confinement et des recommandations détaillées en matière de remédiation. Certains fournisseurs proposent même des mesures d'intervention autorisées, telles que l'isolation des terminaux compromis ou le blocage du trafic réseau malveillant.
• 
  du cadre de gouvernance Ce modèle nécessite des accords de niveau de service clairs, des autorités de réponse définies et des évaluations régulières des performances afin de garantir que le service répond aux exigences organisationnelles.

Intégration Cloud-Native

Les services MDR modernes Centre d'aide de plus en plus des méthodes d'intégration "cloud-native" qui s'alignent sur les architectures "cloud-first".

• 
  Advanced d'intégration des conteneurs et de Kubernetes Les fournisseursAdvanced proposent des agents spécialisés et des capacités de surveillance pour les environnements conteneurisés. Cela inclut la protection en temps réel, l'intégration de l'analyse d'images et la surveillance de la sécurité native de Kubernetes.
• Surveillance sans serveur et des fonctions
  L'intégration MDR native au cloud s'étend aux environnements informatiques sans serveur, offrant une visibilité sur l'exécution des fonctions, le trafic des passerelles API et les configurations des services cloud.
• Stratégies multicloud
  L'intégration MDR d'entreprise s'étend souvent à plusieurs fournisseurs de cloud, ce qui nécessite une surveillance unifiée sur AWS, Azure, Google Cloud et d'autres plateformes, tout en maintenant des politiques de sécurité et des procédures d'intervention cohérentes.

Considérations relatives aux performances et à l'évolutivité

• 
  de gestion de l'impact des ressources Une intégration efficace du MDR minimise l'impact sur les systèmes existants tout en maximisant la visibilité en matière de sécurité.
• 
  des performances des terminaux Les agents MDR modernes sont conçus pour avoir un impact minimal sur le système, mais les entreprises doivent établir des références de performance et mettre en place une surveillance afin de s'assurer que les applications métier ne sont pas affectées.
• 
  de la bande passante réseau Les besoins en matière de transmission de données doivent être planifiés et surveillés, en particulier dans les environnements où la bande passante est limitée ou dans les endroits où la connexion Internet est coûteuse.
• Planification de l'évolutivité L'intégration de l'
  MDR doit s'adapter à la croissance de l'organisation et à l'évolution des exigences en matière de sécurité.
• 
  de mise à l'échelle dynamique Les services MDR basés sur le cloud offrent généralement des capacités de mise à l'échelle élastiques qui s'adaptent automatiquement à l'évolution des volumes de données et des menaces. Cela garantit une qualité de service constante pendant les périodes de pointe ou lors de l'expansion de l'organisation.
• Répartition géographique
  Les organisations opérant à l'échelle mondiale peuvent avoir besoin de fournisseurs de MDR disposant d'une infrastructure distribuée afin de garantir une surveillance à faible latence et la conformité en matière de résidence locale des données.

Facteurs de réussite de l'intégration du MDR

• Préparation et planification
  Une intégration réussie du MDR commence par une préparation minutieuse, comprenant une évaluation de la situation actuelle, une planification de l'intégration et la mise en accord des parties prenantes.
• Évaluation de l'infrastructure
  Les organisations doivent répertorier les outils de sécurité existants, l'architecture réseau et les configurations des terminaux afin d'identifier les points d'intégration optimaux et les défis potentiels.
• Programmes pilotes
  De nombreux déploiements réussis commencent par des mises en œuvre pilotes limitées qui permettent de tester et d'affiner le produit avant son déploiement à grande échelle.
• Optimisation continue
  L'intégration MDR n'est pas une mise en œuvre ponctuelle, mais nécessite une optimisation et un perfectionnement continus.
• 
  de réglage et de personnalisation Les déploiements initiaux nécessitent souvent des réglages afin de réduire les faux positifs et d'aligner les règles de détection sur les profils de risque de l'organisation. Ce processus itératif prend généralement plusieurs semaines, voire plusieurs mois, pour être pleinement optimisé.
• Examens réguliers
  Des examens trimestriels ou semestriels des performances du MDR, de l'efficacité de l'intégration et de l'évolution des exigences en matière de sécurité permettent de garantir que le service continue de répondre aux besoins de l'organisation.

La clé d'une intégration MDR réussie réside dans le choix de la bonne combinaison de méthodes d'intégration qui s'alignent sur l'infrastructure organisationnelle, les exigences de sécurité et les capacités opérationnelles, tout en conservant la flexibilité nécessaire pour évoluer en fonction des menaces et des besoins de l'entreprise.

Politiques de collecte et de conservation des données du MDR

Vue d'ensemble

Les politiques de collecte et de conservation des données constituent la base de services efficaces de détection et de réponse gérées (MDR). Ces politiques régissent les données collectées, la manière dont elles sont traitées, l'endroit où elles sont stockées et la durée de leur conservation. La compréhension de ces politiques est cruciale pour les organisations qui mettent en œuvre des services de MDR, car elles ont un impact direct sur l'efficacité de la sécurité, les exigences de conformité et les coûts opérationnels.

Cadres de collecte de données

• 
  de collecte de données sur les terminaux Les services MDR collectent des données télémétriques détaillées à partir des terminaux afin d'offrir une visibilité complète sur les menaces de sécurité potentielles.
• Surveillance des processus et des applications
  Les agents terminaux surveillent la création des processus, les modèles d'exécution, les arguments de ligne de commande et les relations entre les processus parents et enfants. Cela inclut le suivi des applications professionnelles légitimes, des processus système et des exécutables potentiellement malveillants. La surveillance du système de fichiers capture la création, la modification, la suppression et les modèles d'accès aux fichiers, fournissant ainsi des informations sur les opérations normales et les activités suspectes.
• Suivi de l'activité réseau
  La collecte de données sur les terminaux inclut les connexions réseau, les requêtes DNS et les modèles de transfert de données. Cela permet de visualiser les communications avec les serveurs de commande et de contrôle, les tentatives d'exfiltration de données et les activités de déplacement latéral. L'utilisation des ports, l'analyse des protocoles et la synchronisation des connexions permettent d'identifier les comportements réseau anormaux.
• Modifications du registre et de la configuration
  Les environnements Windows nécessitent une surveillance des modifications du registre, des installations de services et des changements de configuration du système. Ces événements indiquent souvent les mécanismes de persistance utilisés par les menaces avancées et fournissent une alerte précoce en cas de compromissions potentielles.
• 
  de collecte de données réseau La collecte de données au niveau du réseau complète la surveillance des terminaux en offrant une visibilité plus large sur les modèles de trafic organisationnel et les menaces potentielles.
• Analyse du trafic
  La collecte de données réseau comprend les métadonnées des paquets, les enregistrements de flux et l'analyse des protocoles. Bien que la capture complète des paquets ne soit généralement pas possible pour des raisons de confidentialité et de stockage, l'analyse des métadonnées fournit des informations suffisantes pour la détection des menaces tout en maintenant des exigences de stockage raisonnables.
• 
  DNS et du trafic Web Les modèles de requêtes DNS et l'analyse du trafic Web permettent d'identifier les communications avec des domaines malveillants, les tentatives d'exfiltration de données et les activités de commande et de contrôle. Ces données sont particulièrement utiles pour détecter les menaces qui peuvent échapper à la détection basée sur les terminaux.
• 
  de surveillance du trafic Est-Ouest La surveillance du trafic réseau interne permet de détecter les mouvements latéraux, les élévations de privilèges et autres activités post-compromission qui se produisent principalement à l'intérieur du périmètre réseau.
• 
  de collecte de données dans l'environnement cloud Les services MDR modernes étendent la collecte de données aux environnements cloud, ce qui nécessite des approches spécialisées pour différentes plateformes cloud.
• Journaux des services cloud
  L'intégration avec les services de journalisation de la plateforme cloud permet de capturer les événements d'authentification, les modifications des ressources et les appels API. Cela inclut AWS CloudTrail, Azure Activity Logs et Google Cloud Audit Logs, offrant ainsi une visibilité sur les changements apportés à l'infrastructure cloud et les éventuelles erreurs de configuration.
• 
  de surveillance des conteneurs et des serveurs sans serveur Les applications natives du cloud nécessitent des méthodes spécialisées de collecte de données pour les conteneurs, les fonctions sans serveur et les architectures de microservices. Cela inclut l'analyse du comportement d'exécution, les résultats de l'analyse des images de conteneurs et les modèles d'exécution des fonctions.

Types de données et classification de la sensibilité

• Catégorisation des données collectées
  La collecte de données MDR implique différents types d'informations présentant divers niveaux de sensibilité et exigences de conservation.
• 
  des données relatives aux événements de sécurité Cela comprend les journaux du pare-feu, les alertes de détection d'intrusion, les détections antivirus et les échecs d'authentification. Les données relatives aux événements de sécurité sont généralement soumises à des exigences de conservation plus longues en raison de leur pertinence directe pour la détection et l'investigation des menaces.
• Données relatives aux performances du système
  Indicateurs de performances, utilisation des ressources et données relatives à l'état du système Centre d'aide détection Centre d'aide en fournissant un contexte pour les comportements inhabituels du système. Ces données sont généralement moins sensibles, mais nécessitent tout de même un traitement approprié.
• 
  des données relatives à l'activité des utilisateurs L'analyse du comportement des utilisateurs, les modèles d'utilisation des applications et les journaux d'accès fournissent des informations précieuses en matière de sécurité, mais peuvent contenir des informations personnelles identifiables nécessitant des procédures de traitement spéciales.
• 
  relatives au traitement des données sensibles Les fournisseurs de MDR doivent mettre en œuvre des contrôles appropriés pour différents niveaux de sensibilité des données.
• 
  des informations personnelles et confidentielles Lorsque la surveillance des terminaux capture des données sensibles, les fournisseurs de services MDR mettent généralement en œuvre des mécanismes de masquage, de tokenisation ou de filtrage des données afin de réduire les risques liés à la confidentialité tout en préservant la sécurité.
• 
  des données en matière de conformité réglementaire Les organisations des secteurs réglementés peuvent avoir des exigences spécifiques en matière de traitement des données, de cryptage et de restrictions géographiques qui doivent être intégrées dans les politiques de collecte de données MDR.

Cadres de la politique de conservation

• Périodes de conservation standard
  Les politiques de conservation des MDR varient généralement en fonction du type de données, des exigences organisationnelles et des obligations réglementaires.
• 
  de conservation des événements de sécurité La plupart des fournisseurs de services MDR conservent les données relatives aux événements de sécurité pendant une période allant de 90 jours à 2 ans, en fonction du niveau de service et des exigences du client. Les événements de sécurité critiques et les incidents confirmés font souvent l'objet de périodes de conservation plus longues afin de Centre d'aide les enquêtes Centre d'aide et Centre d'aide aux exigences de conformité.
• 
  des données télémétriques brutes Les données télémétriques brutes à haut volume ont généralement des périodes de conservation plus courtes, souvent de 30 à 90 jours, en raison des coûts de stockage et des exigences de traitement. Cependant, les informations sur les menaces traitées et analysées peuvent être conservées plus longtemps.
• Données relatives aux enquêtes sur les incidents
  Les données relatives aux incidents de sécurité confirmés sont généralement conservées pendant de longues périodes, souvent de 2 à 7 ans, afin de Centre d'aide les procédures Centre d'aide , les audits de conformité et l'analyse des enseignements tirés.
• Stratégies de stockage hiérarchisé
  Les fournisseurs de MDR mettent souvent en œuvre des stratégies de stockage hiérarchisé afin d'équilibrer les exigences en matière de coût, de performances et d'accessibilité.
• Stockage à chaud
  Les données récentes nécessitant un accès immédiat pour threat hunting l'investigation threat hunting sont stockées dans des systèmes hautement performants. Cela couvre généralement les données des 30 à 90 derniers jours, avec des temps de réponse aux requêtes inférieurs à la seconde.
• Stockage à température modérée
  Les données historiques pouvant être nécessaires à des enquêtes approfondies ou à des exigences de conformité sont transférées vers des systèmes de stockage à température modérée. Ces données restent accessibles, mais les temps de réponse aux requêtes sont plus longs et les coûts de récupération potentiellement plus élevés.
• 
  de stockage à froid et d'archivage Les exigences en matière de conservation à long terme sont souvent satisfaites grâce à des systèmes de stockage à froid ou d'archivage. La récupération de ces données peut prendre plusieurs heures, voire plusieurs jours, mais ces systèmes offrent un stockage à long terme rentable qui répond aux exigences réglementaires et légales.

Conformité et considérations réglementaires

• 
  des exigences spécifiques à chaque secteur Les différents secteurs ont des exigences variables en matière de conservation et de traitement des données auxquelles les fournisseurs de MDR doivent se conformer.
• Services financiers
  Les institutions financières exigent souvent des périodes de conservation des données prolongées à des fins d'audit, généralement de 3 à 7 ans pour les données liées à la sécurité. Des exigences supplémentaires peuvent inclure des normes de cryptage des données, des restrictions géographiques et des délais spécifiques pour le signalement des incidents.
• 
  des organismes de santé Les environnements de santé doivent se conformer à la loi HIPAA et à d'autres réglementations en matière de confidentialité, ce qui nécessite un traitement particulier de toutes les données susceptibles de contenir des informations médicales protégées. Cela implique souvent une anonymisation supplémentaire des données et des contrôles d'accès.
• 
  gouvernementales et de défense Les organisations gouvernementales peuvent exiger des habilitations de sécurité pour le personnel MDR, le traitement des données dans des limites géographiques spécifiques et la conformité à des cadres tels que les contrôles de sécurité FedRAMP ou IL-4/5.
• 
  internationale de protection des données Les organisations mondiales doivent composer avec des exigences internationales complexes en matière de protection des données.
• 
  de conformité au RGPD Les opérations européennes doivent être conformes aux exigences du règlement général sur la protection des données, notamment en ce qui concerne les droits des personnes concernées, les obligations de notification en cas de violation et les restrictions potentielles en matière de traitement des données.
• 
  en matière de souveraineté des données Certaines juridictions exigent que certains types de données restent à l'intérieur des frontières nationales, ce qui a une incidence sur le choix des fournisseurs de MDR et les lieux de traitement des données.

Gestion du cycle de vie des données

• 
  d'optimisation de la collecte Une collecte efficace des données MDR permet d'équilibrer la visibilité en matière de sécurité, l'efficacité opérationnelle et les considérations financières.
• 
  Advanced collecte sélective des données Les servicesAdvanced mettent en œuvre une collecte intelligente des données qui se concentre sur les événements de sécurité à forte valeur ajoutée tout en filtrant les données opérationnelles courantes. Cela réduit les coûts de stockage et améliore l'efficacité de l'analyse sans compromettre la couverture de sécurité.
• 
  d'ajustement dynamique Les plateformes MDR modernes peuvent ajuster dynamiquement la collecte de données en fonction des niveaux de menace, des exigences en matière d'enquête et des changements organisationnels. Cela garantit une utilisation optimale des ressources tout en maintenant l'efficacité de la sécurité.
• Flux de travail de traitement et d'analyse
  Les flux de travail de traitement des données déterminent la manière dont les informations collectées sont transformées en renseignements de sécurité exploitables.
• 
  d'analyse en temps réel Les événements de sécurité critiques nécessitent un traitement et une analyse immédiats afin de permettre une réponse rapide aux menaces. Cela implique généralement des moteurs d'analyse automatisés capables de traiter et de corréler les événements en quelques secondes après leur collecte.
• 
  de traitement par lots Les données non critiques peuvent être traitées par lots afin d'optimiser l'utilisation des ressources et de réduire les coûts. Cette approche convient à l'analyse des tendances, aux rapports de conformité et aux enquêtes historiques.
• 
  de la mise en œuvre des politiques de conservation La mise en œuvre automatisée des politiques de conservation garantit la conformité aux exigences organisationnelles et réglementaires tout en gérant les coûts de stockage.
• 
  de purge automatisée Les plateformes MDR mettent généralement en œuvre une purge automatisée des données selon des calendriers de conservation prédéfinis. Cela inclut des procédures de suppression sécurisée qui garantissent que les données ne peuvent pas être récupérées après l'expiration de la période de conservation.
• Capacités de conservation à des fins juridiques :les organisations peuvent être amenées à suspendre leurs calendriers de conservation habituels dans le cadre d'enquêtes juridiques ou réglementaires. Les fournisseurs de MDR doivent proposer des capacités de conservation à des fins juridiques qui permettent de conserver les données pertinentes au-delà des périodes de conservation habituelles.

Vie privée et protection des données

• Principes de minimisation des données
  Une collecte efficace des données MDR suit les principes de minimisation des données afin de ne collecter que les informations nécessaires à des fins de sécurité.
• Limitation des finalités
  La collecte de données doit être limitée aux finalités liées à la sécurité, avec des politiques claires régissant toute utilisation secondaire des informations collectées.
• Précision et qualité
  Les contrôles de qualité des données garantissent que les informations collectées sont précises et pertinentes, ce qui réduit les besoins en stockage et améliore l'efficacité des analyses.
• 
  d'anonymisation et de pseudonymisation Lorsque les informations personnelles identifiables ne peuvent être complètement évitées, les fournisseurs de MDR doivent mettre en œuvre des techniques d'anonymisation ou de pseudonymisation appropriées.
• 
  techniques de protection Ces mesures peuvent inclure le hachage des identifiants utilisateur, le masquage des champs sensibles et la mise en œuvre de techniques de confidentialité différentielle afin de protéger la vie privée des individus tout en maintenant la sécurité.
• 
  des contrôles d'accès Des contrôles d'accès stricts limitent l'accès aux données sensibles, avec des autorisations basées sur les rôles et des pistes d'audit pour toutes les activités d'accès aux données.

Stratégies d'optimisation des coûts

• 
  d'optimisation du stockage Les coûts liés à la conservation des données peuvent être considérables, ce qui rend l'optimisation du stockage cruciale pour la pérennité des opérations MDR.
• 
  Advanced compression etAdvanced déduplication Des algorithmesAdvanced et des techniques de déduplication permettent de réduire considérablement les besoins en stockage sans affecter les capacités d'analyse de sécurité.
• 
  d'archivage intelligent Les politiques automatisées peuvent déplacer les données plus anciennes vers des niveaux de stockage moins coûteux tout en conservant leur accessibilité pour répondre aux exigences de conformité et d'enquête.
• Évaluation de la valeur des données
  Une évaluation régulière de la valeur des données permet d'optimiser les politiques de conservation et de réduire les coûts de stockage inutiles.
• 
  d'analyse de l'utilisation Le suivi de la fréquence d'accès aux différents types de données historiques permet d'ajuster les politiques de conservation et d'attribution des niveaux de stockage.
• 
  des mesures de la valeur de sécurité Mesurer la valeur de sécurité des différents types de données permet de hiérarchiser les ressources de collecte et de conservation afin d'optimiser l'efficacité de la détection des menaces.

Bonnes pratiques pour la mise en œuvre

• Élaboration de politiques
  Les organisations doivent élaborer des politiques complètes en matière de données qui traitent des exigences en matière de collecte, de conservation et de protection avant de mettre en œuvre les services MDR.
• Participation des parties prenantes
  L'élaboration des politiques doit impliquer les équipes juridiques, de conformité, de confidentialité et de sécurité afin de garantir que toutes les exigences organisationnelles sont prises en compte.
• Révision et mises à jour régulières
  Les politiques relatives aux données doivent être révisées régulièrement et mises à jour afin de refléter l'évolution des exigences réglementaires, des besoins organisationnels et des menaces.
• Évaluation des fournisseurs
  Il est essentiel d'évaluer les pratiques des fournisseurs MDR en matière de données afin de garantir leur conformité avec les exigences organisationnelles.
• Transparence dans le traitement des données
  Les fournisseurs doivent fournir une documentation claire sur leurs pratiques en matière de collecte, de traitement, de stockage et de conservation des données, y compris l'emplacement géographique des données et les contrôles de sécurité.
• Certifications de conformité
  Les certifications de conformité pertinentes telles que SOC 2, ISO 27001 ou les cadres spécifiques à l'industrie garantissent des pratiques appropriées en matière de traitement des données.
• Surveillance et amélioration continues
  Les politiques relatives aux données MDR nécessitent une surveillance et un perfectionnement continus afin de garantir leur efficacité et leur conformité.
• 
  des indicateurs de performance Une évaluation régulière de l'efficacité de la collecte des données, des coûts de stockage et de l'efficacité de la sécurité permet d'optimiser les politiques et les procédures.
• 
  tirées des incidents Les incidents de sécurité fournissent des informations précieuses qui permettent d'affiner les politiques de collecte et de conservation des données afin d'améliorer les capacités futures de détection des menaces et d'enquête.

Le succès de la mise en œuvre du MDR dépend en grande partie de politiques réfléchies de collecte et de conservation des données qui concilient l'efficacité de la sécurité, l'efficacité opérationnelle, la conformité réglementaire et les considérations de coût. Les organisations devraient travailler en étroite collaboration avec leurs fournisseurs de MDR pour élaborer des politiques qui répondent à leurs exigences spécifiques tout en s'appuyant sur les meilleures pratiques de l'industrie et les orientations réglementaires.

Les avantages du MDR

• Amélioration de la sécurité : MDR renforce votre posture de sécurité globale en fournissant une surveillance continue, une détection des menaces et des capacités de réponse.
• Réduction du risque de violation : En identifiant et en contenant les menaces de manière proactive, le MDR vous aide à prévenir les violations de données coûteuses et les perturbations opérationnelles.
• Amélioration de la conformité : De nombreuses réglementations en matière de sécurité des données imposent des mesures de sécurité spécifiques. MDR peut vous aider à vous conformer à ces réglementations.
• Réduction des coûts de sécurité : Bien que le MDR ait un coût, il peut s'avérer plus rentable que la création et le maintien d'une équipe de sécurité interne.
• Tranquillité d'esprit : Le fait de savoir qu'une équipe d'experts en sécurité veille en permanence sur vos arrières vous procure une certaine tranquillité d'esprit et vous permet de vous concentrer sur votre activité principale.

MDR vs. EDR vs. XDR

Les solutions EDR, MDR et XDRpeuvent atténuer les difficultés auxquelles sont confrontées la plupart des équipes de cybersécurité des petites entreprises, telles que la fatigue liée aux alertes et les ressources limitées dans le cas du MDR.

Bien que les outils de détection et de réponse aient des objectifs similaires, ils ne sont pas tous équivalents. Chaque capacité de détection et de réponse aux menaces présente ses propres avantages lorsqu'il s'agit de répondre aux besoins de votre entreprise et de détecter les menaces qui ont contourné les couches de sécurité traditionnelles.

Le MDRest un service géré qui combine l'expertise humaine et les renseignements sur les menaces, offrant threat hunting avancée threat hunting, une identification des menaces, une hiérarchisation des alertes et une réponse aux incidents.Endpoint detection and response

Endpoint detection and response Les solutionsEndpoint detection and response détectionEndpoint detection and response réponseEndpoint detection and response EDR)couvrent toute la surveillance et l'activité des terminaux grâce à threat hunting, l'analyse des données et la correction afin de mettre fin à toute une série de cyberattaques.

La détection et la réponse étendues (XDR)constituent une solution de cybersécurité proactive qui offre une visibilité améliorée et unifiée sur les terminaux, les réseaux et le cloud en agrégeant les données cloisonnées à travers la pile de sécurité d'une organisation.

Quelle est la différence entre MDR et SOC-as-a-Service ?

Le MDR et le SOC-as-a-Service sont des offres de cybersécurité étroitement liées qui se chevauchent souvent, mais qui présentent quelques distinctions essentielles :

Chevauchement : dansla pratique, de nombreux fournisseurs proposent des services qui brouillent ces frontières. Certains fournisseurs de SOC-as-a-Service offrent de solides capacités MDR, tandis que certains fournisseurs MDR ont élargi leur offre pour proposer des fonctions SOC plus étendues. La distinction repose souvent sur le fait que le service se positionne comme un remplacement complet du SOC ou comme une amélioration spécialisée de la détection et de la réponse.

Les 10 questions les plus importantes à poser à des fournisseurs potentiels de services de MDR

Ces dix questions portent sur les aspects les plus critiques de l'évaluation des services de MDR : capacités de réponse, engagements de performance, complexité de l'intégration, expertise humaine, transparence des coûts, conformité Centre d'aide, traitement des données, capacités proactives, exigences de mise en œuvre et crédibilité du fournisseur. Concentrez-vous sur ces aspects essentiels pour prendre une décision éclairée quant au choix du prestataire de services de MDR.

• Quelles mesures spécifiques pouvez-vous prendre en notre nom ? Clarifiez la portée des mesures autorisées, notamment l'isolation des terminaux, le blocage du réseau, la suspension des comptes utilisateurs et autres mesures de confinement. Comprenez les éventuelles restrictions ou exigences d'approbation, ainsi que la procédure à suivre en cas d'incident en dehors des heures de bureau.
• Quels sont vos SLA spécifiques en matière de détection, de réponse et de résolution ? Obtenez des engagements détaillés concernant le temps moyen de détection (MTTD), le temps moyen de réponse (MTTR) et les délais de résolution pour différents types d'incidents et niveaux de gravité. Demandez comment ils gèrent les violations des SLA et quelles sont les solutions disponibles.
• Comment votre plateforme s'intègre-t-elle à notre infrastructure de sécurité existante ? Renseignez-vous sur les capacités API, l'intégration SIEM, la connectivité du système de tickets et la compatibilité avec vos outils de sécurité et workflows actuels. Il est essentiel de comprendre la complexité et le calendrier de l'intégration pour planifier la mise en œuvre.
• Qui surveillera mon environnement et quelles sont ses qualifications ? Renseignez-vous sur les certifications des analystes, leur niveau d'expérience, les programmes de formation, le taux de rotation du personnel et demandez si vous bénéficierez d'analystes dédiés ou si vous partagerez les ressources. Il est essentiel de comprendre l'élément humain derrière le service pour évaluer la qualité de celui-ci.
• Quel est votre Tarifs et y a-t-il des coûts supplémentaires ? Déterminez si Tarifs basé sur les terminaux, le volume de données, les utilisateurs ou d'autres paramètres. Clarifiez les coûts liés à la mise en œuvre, à la formation, à l'analyse, aux rapports de conformité, aux interventions d'urgence et à tout autre service dépassant l'offre standard.
• Quels cadres de conformité Centre d'aide comment ? Obtenez des informations détaillées sur les cadres pris en charge pertinents pour votre secteur (HIPAA, PCI DSS, SOX, FISMA, GDPR). Demandez des exemples spécifiques illustrant comment leur service répond aux exigences du cadre et quels rapports de conformité ils fournissent.
• Quelles données collectez-vous, où sont-elles stockées et combien de temps les conservez-vous ? Il est essentiel de comprendre la portée de la collecte de données, les emplacements géographiques de stockage, les périodes de conservation et les procédures de traitement des données pour garantir la conformité en matière de confidentialité, la planification des coûts et le respect des exigences réglementaires.
• Fournissez-vous threat hunting proactifs threat hunting ? Faites la distinction entre la surveillance réactive et threat hunting proactive threat hunting. Renseignez-vous sur la fréquence threat hunting , le niveau d'expertise des chercheurs de menaces et les méthodologies qu'ils utilisent pour identifier les menaces persistantes avancées.
• Quel est votre calendrier de déploiement type et quel niveau de personnalisation est disponible ? Comprendre les délais de mise en œuvre, les ressources nécessaires, les perturbations potentielles de l'activité et la possibilité de personnaliser les règles de détection et les paramètres de surveillance facilite la planification du projet et l'alignement des services.
• Pouvez-vous fournir des références de clients issus de secteurs similaires et quelles certifications détenez-vous ? Les références de clients issus de secteurs et d'environnements réglementaires similaires fournissent des informations précieuses sur la qualité du service. Renseignez-vous sur les rapports SOC 2 Type II, la certification ISO 27001 et les autres certifications pertinentes qui attestent de leurs pratiques en matière de sécurité.

Critères d'évaluation pour la sélection d'un fournisseur de MDR

Lorsque vous évaluez les fournisseurs de MDR, plusieurs critères essentiels doivent guider votre processus décisionnel :

Les capacités techniques et la couvertureconstituent la base de services MDR efficaces. Évaluez l'étendue de la plateforme Centre d'aide l'ensemble de votre pile technologique, y compris les terminaux, les environnements cloud, les conteneurs et l'infrastructure réseau. Évaluez la profondeur des capacités de détection, notamment l'analyse comportementale, l'apprentissage automatique, l'intégration des renseignements sur les menaces et la capacité du fournisseur à détecter les menaces persistantes avancées et les attaques zero-day. Tenez compte de leurs capacités d'intégration avec vos outils de sécurité, vos plateformes SIEM et vos flux de travail opérationnels existants, car une intégration transparente est essentielle pour maintenir l'efficacité de la sécurité sans perturber les opérations.

La qualité du service et l'expertise humainesont des facteurs tout aussi importants. Examinez les qualifications et l'expérience des analystes de sécurité qui surveilleront votre environnement, notamment les certifications pertinentes, l'expérience dans le secteur et les taux de rétention du personnel. Évaluez leurs accords de niveau de service en termes de délais de détection, d'engagements de réponse et de délais de résolution, en vous assurant qu'ils correspondent à vos exigences commerciales et à vos obligations réglementaires. Vérifiez s'ils offrent une véritable couverture 24 heures sur 24, 7 jours sur 7 et 365 jours par an, avec une qualité de service constante dans tous les fuseaux horaires et toutes les équipes. Les considérationsrelatives à la conformité et à l'alignement commercialcomprennent le Centre d'aide du fournisseur Centre d'aide vos exigences réglementaires spécifiques, son expertise dans le secteur et ses capacités en matière de rapports de conformité. Évaluez leurs certifications et attestations telles que SOC 2 Type II, ISO 27001 et les autorisations spécifiques à l'industrie qui démontrent leurs pratiques en matière de sécurité. Évaluez la transparence de leur Tarifs , la flexibilité de leurs contrats, leurs options d'évolutivité et leur viabilité commerciale à long terme. Tenez compte de l'adéquation culturelle, des pratiques de communication et de leur capacité à travailler en collaboration avec vos équipes internes, car la relation MDR est généralement un partenariat à long terme qui nécessite une coordination et une confiance continues.