S'applique À : ThreatSync+ NDR
ThreatSync+ NDR utilise l'intelligence artificielle (IA) pour consolider les données liées à un volume important de trafic réseau dans des Smart Alerts. Les Smart Alerts indiquent qu'une potentielle attaque est en cours sur votre réseau et aident les opérateurs à se focaliser sur les menaces émergentes qui présentent le risque le plus élevé et les répercussions les plus importantes pour l'organisation.
La page Smart Alerts est disponible avec une licence ThreatSync+ NDR. Pour de plus amples informations, accédez à À Propos des Licences ThreatSync+ NDR.
Lorsque ThreatSync+ NDR détecte des menaces sur votre réseau ou une activité réseau anormale, les Smart Alerts vous avertissent afin que vous puissiez examiner l'activité et y réagir. Les Smart Alerts expliquent l'activité, son mode de découverte ainsi que le motif pour lequel elle a été considérée comme une menace.
Lorsqu'elles sont détectées pour la première fois, les Smart Alerts présentent l'état Nouvelle. Si ThreatSync+ NDR détecte une activité supplémentaire liée à l'alerte, l'état de la Smart Alert devient Mise à jour. Après avoir examiné et résolu la menace, vous pouvez faire passer la Smart Alert à l'état Clôturée.
Lorsque ThreatSync+ NDR génère une Smart Alert, elle s'affiche sur la page Surveiller > ThreatSync+ > Smart Alerts. Vous pouvez également configurer des notifications de manière à recevoir un e-mail lorsque ThreatSync+ NDR génère ou met à jour des Smart Alerts. Pour de plus amples informations, accédez à Configurer les Alertes et les Règles de Notification ThreatSync+.
La page Smart Alerts présente la liste des Smart Alerts ainsi que les détails suivants :
- Smart Alert — Nom de la Smart Alert.
- Confiance — Indique le degré de confiance de ThreatSync+ NDR quant au fait que la Smart Alert soit une menace. Les niveaux de confiance possibles sont Très Faible, Faible, Moyen, Élevé ou Très Élevé.
- Début — Date et heure de début de l'activité.
- Fin — Date et heure de fin de l'activité.
- Acteurs Majeurs — Nom, adresse IP ou adresse e-mail de l'entité ou de l'utilisateur lié à un périphérique susceptible de mener des activités malveillantes. Les acteurs majeurs peuvent être le périphérique responsable de la menace ou le périphérique compromis.
- État — État de la Smart Alert. L'état peut être Nouvelle, Mise à jour ou Clôturée.
- Raison de la Clôture — La raison pour laquelle la Smart Alert a été clôturée par un utilisateur.
- Clôturée Par — Nom de l'utilisateur qui a clôturé la Smart Alert.
- Similaire Clôturée — Indique si l'opérateur a demandé que les futures Smart Alerts similaires soient automatiquement clôturées.
- Commentaires — Affiche les commentaires ajoutés à la Smart Alert.
Types et Comportements des Smart Alerts
Le type de la Smart Alert ainsi que sa classification en menace Très Faible, Faible, Moyenne, Élevée ou Très Élevée déterminent les actions à exécuter pour protéger votre réseau. Par exemple, les Smart Alerts Exfiltration ou Commande et Contrôle peuvent indiquer qu'un attaquant est actif sur votre réseau. Les Smart Alerts Sondage et Reconnaissance peuvent indiquer qu'un nouvel attaquant a commencé à attaquer votre réseau.
Nous vous recommandons de résoudre en premier les comportements survenus en dernier lors du processus de cyberattaque, notamment l'exfiltration, mais il s'avère également important de résoudre les premières menaces, car le meilleur moyen de protéger votre organisation consiste à détecter l'attaquant à temps.
Une Smart Alert peut révéler différents comportements malveillants. Par exemple, Tunneling Suspect Plus Analyse des Ports est une combinaison de deux comportements malveillants : une analyse des ports horizontale et un tunneling DNS suspect.
Les types de Smart Alerts comprennent :
- Activité de Sondage ou de Reconnaissance d'Interne vers Externe
- Tunneling Suspect Plus Exfiltration de Données
- Tunneling DNS Suspect Plus Analyse des Ports
- Tunneling Suspect Plus Analyse des Ports
- Tunneling Suspect Plus Exfiltration de Données
- Activité de Sondage ou de Reconnaissance
- Activité de Mouvement Latéral Suspectée
Les comportements des Smart Alerts comprennent :
- Comportement de Balisage Suspect Via une Interface d'Application Web
- Analyse des Ports Horizontale d'Interne vers Externe
- Analyse des Ports Verticale d'Interne vers Externe
- Exfiltration de Pair à Pair
- Analyse des Ports Horizontale
- Volume Élevé Franchissant la Périphérie du Réseau
- Tunneling DNS Suspect
- Tunneling ICMP Suspect
- Empreinte de Port Éphémère Volumineuse
- Visite d'une URL ou d'un Domaine Malveillant Via une IP de la Liste de Blocage
- Activité de Tunneling RDP Suspect
- Activité Suspecte Sur un Actif
Pour obtenir des informations détaillées concernant une Smart Alert spécifique ainsi que des instructions de résolution, cliquez sur la Smart Alert. Pour de plus amples informations, accédez à Examiner les Détails d'une Smart Alert.