Télémétrie : définition
La télémétrie collecte et transmet des données à des fins de contrôle et d'analyse. À cette fin, des sondes sont placées sur le système pour surveiller, récupérer et interpréter diverses formes d'événements se produisant sur un système.
En cybersécurité, la télémétrie est utile pour investiguer efficacement lorsqu’un événement de sécurité est détecté.
En quoi la télémétrie est utile pour les analystes cyber
En cas d’alerte, les analystes cyber doivent vérifier ce que l'attaquant a fait sur le système, ou éventuellement procéder à une levée de doute. Aussi, plus le périmètre surveillé est large, plus les données sont nombreuses, plus il est facile de comprendre le parcours d’un attaquant en cas d’attaque.
La télémétrie permet ainsi aux analystes d’avoir la meilleure visibilité possible sur ce qui se passe sur un parc informatique, de mieux comprendre le contexte d’un incident, sachant que même des événements qui semblent anodins au premier abord peuvent être significatifs dans le cadre d’une attaque.
Mais au fait, comment un EDR récupère la télémétrie ?
Télémétrie : les données disponibles dans un EDR
L'avantage d’un EDR est qu’il permet non seulement de détecter et bloquer les menaces, mais aussi d’investiguer et comprendre le scenario d’une attaque.
Pour ce faire, l’EDR dispose de sondes placées sur les endpoints, et ces sondes interceptent des événements système pour les transmettre à l’agent qui les fait passer dans ses moteurs de détection.
Ensuite, le moteur de détection identifie s’il s’agit d’une action légitime ou malveillante, et peut générer des alertes dans la console de l’EDR.
Sans télémétrie, seuls les événements système détectés comme malveillants sont accessibles dans la console.
Avec télémétrie, les événements système considérés comme légitimes sont aussi collectés, et ils peuvent apporter des compléments d’information dans le cadre d’une investigation, en cas de levée de doute ou de remédiation. C’est aussi utile pour du hunting, nous y reviendrons plus tard.
Ainsi, un EDR ne remonte pas uniquement les événements qui déclenchent une alerte, il collecte d’autres événements système qu’ils stocke pour une certaine durée, et les restitue.
En cas d’attaque, un analyste peut par exemple identifier tous les processus, connexions réseau, ou scripts qui auraient été lancés par un attaquant.
Dans le cas d’une attaque plus sophistiquée, un attaquant peut chercher à modifier des fichiers système ou applicatifs, modifier des clés dans le registre, charger des librairies malveillantes... De multiples sources de télémétrie sont donc nécessaires pour suivre son activité.
De fait, plus ces sources sont nombreuses et riches, plus les analystes gagnent du temps pour comprendre le contexte d'une alerte, bloquer efficacement l’attaque le cas échéant, répondre et durcir la protection.
Les données de télémétrie pour remonter dans le temps
Comme nous l’avons vu, à l’aide de sondes, un EDR collecte et stocke les données relatives aux événements système, ce qui aide le travail d'investigation des analystes. C’est grâce à la télémétrie qu’ils peuvent comprendre ce qui s’est passé avant une alerte, et autour d’un incident.
Attention toutefois, si un EDR peut être déployé pendant une attaque pour y remédier, il y a tout intérêt à l’installer bien en amont pour collecter de la donnée dans la durée.
En effet, une solution ne peut collecter des informations que si ses sondes sont actives, mais elles ne peuvent pas récupérer des données antérieures à leur activation. C’est pourquoi il vaut mieux anticiper et intégrer un EDR à une stack de sécurité, plutôt que d’attendre un incident pour s’équiper. C’est à cette condition que les analystes pourront tirer pleinement parti de la télémétrie antérieure à une alerte.
En outre, bien qu'un EDR ne puisse pas collecter des données de télémétrie qui précèdent de son installation, pour pallier ce problème, HarfangLab intègre une boite à outils complète de jobs d'investigation et de forensique, permettant de collecter d'analyser les actions de l'attaquant sur le système, même avant l'installation de l'agent !
La télémétrie d’un EDR : atout majeur pour contrer les attaquants
Pour échapper à la vigilance des experts et des outils de sécurité, les attaquants innovent constamment. La chasse aux sources de télémétrie est donc permanente !
Disposer d’un maximum de sondes sur un maximum de sources, ce sont autant de pièges tendus aux attaquants.
A cette fin, les éditeurs d’EDR redoublent aussi d’efforts pour enrichir les sources de télémétrie, et les équipes de sécurité ont tout intérêt à s’appuyer dessus pour renforcer leurs capacités de protection.
Un avantage pour accélérer l’investigation
Pour mener une investigation, les analystes doivent lancer un job avec l’EDR (par exemple : collecter et extraire les données de la MFT, collecter les prefetch, journaux USN ou le registre AmCache...), et sans télémétrie, ils ne peuvent se baser que sur les résultats de ces collectes forensique qui donnent une vision partielle et figée du poste analysé.
A l’inverse, si la télémétrie est activée, dès que l’attaquant effectue une action sur lequel l’EDR remonte des données, cette action est enregistrée et récupérée facilement. C’est du temps économisé, ce qui compte beaucoup pendant une crise cyber.
Une visibilité en temps réel sur le parc informatique
Via des outils d’investigation ou de forensique, les analystes peuvent disposer d’une photographie à un instant T de leur infrastructure IT, mais ça ne permet pas de suivre les déplacements et les actions successives de l’attaquant.
L'avantage d’un EDR est qu’il permet une collecte des données en temps réel pour suivre l’évolution de l’attaque et intervenir efficacement, au bon endroit, au bon moment.
Maintenant que vous avez compris l’importance de la télémétrie disponible dans un EDR, voyons en détails quelques atouts d’HafangLab EDR pour optimiser le traitement de ces données.
Comment HarfangLab EDR facilite (encore plus) le travail des analystes avec la télémétrie
Différents modes d'activation de la télémétrie
Comme évoqué plus tôt, un EDR peut remonter les données de télémétrie issues de nombreuses sources, et les stocker pour les exploiter en temps utile.
Mais il faut savoir que certaines sources sont plus compliquées que d’autres à gérer en raison du très grand volume de données qu’elles génèrent.
Par exemple, des modifications de fichiers peuvent survenir par dizaines, voire par centaines à la seconde. Ces modifications peuvent être intéressantes, mais le volume de données est colossal. Les analystes peuvent avoir besoin de les explorer, mais uniquement en cas d’alerte.
Pour répondre à ce besoin et éviter d’être noyés sous les données de sources trop verbeuses, HarfangLab EDR propose différentes options pour remonter la télémétrie :
- Désactivée - aucune télémétrie n’est collectée ;
- Live – la télémétrie est collectée en continu et stockée pour une durée choisie par le client ;
- On alert – la télémétrie ne remonte qu’en cas d’alerte.
Le conseil d’expert
“En matière de télémétrie, n’hésitez pas à tout activer ! Profitez au maximum des informations disponibles pour les exploiter au moment où vous en avez besoin : authentifications, requêtes DNS, scripts PowerShell, URL, fichiers téléchargés...
Pensez à surveillez les évolutions de votre EDR pour activer régulièrement les nouvelles options de télémétrie disponibles !”
Benoit Maïzi, Ingénieur en cybersécurité - HarfangLab
Des cycles de détection très courts et des données accessibles
HarfangLab EDR collecte des données de télémétrie sur une vingtaines de sources qui évoluent régulièrement, comme par exemple, les processus, connexions réseau, DNS, Files, authentifications et eventlogs...
L’équipe Cyber Threat Intelligence suit les tendances en continu, travaille sur des cycles de détection très courts et intègre régulièrement et rapidement de nouvelles sources.
Par ailleurs, toutes les données collectées sont stockées, et disponibles pour les utilisateurs de l’EDR afin de faciliter leur exploitation.
Ainsi, même si toutes les données stockées ne sont pas amenées à être analysées à la suite d’une alerte, elles peuvent toutefois être explorées pour faire du hunting, dont nous avons parlé un peu plus tôt.
En effet, ces informations permettent de rechercher la présence d’attaquants sur un parc informatique, ce qui est utile pour des organisations qui peuvent être la cible d’attaques sophistiquées, au cours desquelles les attaquants cherchent à s’introduire sur un SI et passer sous les radars (par exemple des attaques persistantes avancées, ou APT).
En somme, pour protéger et monitorer l’activité de postes de travail et de serveurs, un EDR offre une visibilité optimale et permet de disposer d’un maximum d’informations nécessaires pour remédier le plus vite possible à une attaque, et se protéger contre des incidents à venir.
D’autres sondes peuvent aussi remonter de la donnée sur l'activité du réseau, des routeurs, des pares-feux... Et c’est grâce à l’expertise du RSSI que l’organisation pourra s’équiper des solutions les mieux adaptées pour sécuriser l’ensemble des actifs du Système d’Information.
Pour en savoir plus sur notre EDR :