Produit

Les étapes de l’onboarding client SaaS chez HarfangLab

Comment se déroule un onboarding pour les clients d'HarfangLab ? Le point sur les étapes : préparation de l'environnement, installation et déploiement des agents, support, accompagnement...
6 min

HarfangLab, c’est un EDR, et c’est surtout une équipe dédiée à ses clients pour un support et un accompagnement optimal. Concrètement, une fois un contrat signé, que se passe-t-il ? Quelles sont les étapes de l’onboarding ? Quelles sont les ressources impliquées pour l’installation et le déploiement des agents, et combien de temps faut-il prévoir ?
Focus sur le déploiement de la solution SaaS d’HarfangLab.

Préparation de l’environnement

Après la validation avec les équipes commerciales du nombre d’endpoints à protéger, et de la durée de rétention des données en dehors des données d'alerte (durée qui peut aller jusqu'à plusieurs mois s’il y a besoin d'investiguer en cas d’incident)...

1. Le Customer Success Manager dédié prend contact avec les personnes responsables du projet (RSSI, SOC Manager...) pour :

  • comprendre la structure des équipes chez le client, les rôles et responsabilités,
  • accompagner le client qui doit préparer son interconnexion avec ses autres solutions le cas échéant (SIEM, SOAR...), l’instance dans l’environnement de Devops (1 journée en moyenne), et l’installation des agents (sur laquelle nous allons revenir plus tard).

2. Le CSM transmet l'URL de la console et les identifiants au client, et indique comment créer des utilisateurs, des rôles et des droits, avec une connexion via SSO si besoin.

Installation et déploiement des agents

Deux méthodes sont possibles pour procéder à l’installation et au déploiement des agents :

  1. créer les groupes et les politiques de protection et de détection, puis déployer les agents ;
  2. déployer tous les agents, puis créer les politiques de protection et de détection, et les groupes.

A noter : l'agent doit pouvoir aller sur la console en port 443 (il peut passer par un proxy), et les analystes doivent pouvoir se rendre sur l'URL de la console via le port 8443.

Pendant l’onboarding, les responsables des postes de travail et responsables infra peuvent être sollicités pour le déploiement, et les administrateurs système et réseau pour gérer les droits nécessaires à l’installation et au fonctionnement de la console.
Selon les organisations, la DSI peut être tenue informée de l’évolution du déploiement.

Le délai nécessaire à l’installation et au déploiement dépend du nombre d’endpoints et de l’hétérogénéité du parc, ainsi que des outils de déploiement.

Le processus d’installation et déploiement des agents peut prendre moins de 30 mn, ou demander plus de temps s’il y a différents environnements à gérer.

Par la suite, la solution est maintenue à jour selon vos prérequis :

  • Mise à jour à distance
    • Fleet
    • Connexion à distance
  • Mise à jour 100% isolée
    • Visioconférence
    • Intervention sur site

Observation des comportements sur les postes de travail et serveurs protégés

Dès que les agents sont déployés, les premières alertes remontent dans la console, ce qui permet de trier les faux positifs, les comportements suspects, les fichiers malveillants... en vue de générer des whitelists. Plus les autorisations des utilisateurs sont larges, plus il y aura d’événements à qualifier, et pour cela, l’analyse humaine est indispensable.

En cas de comportement suspect, les experts cyber ou responsables sécurité en interne peuvent observer et classifier les événements en fonction de leur connaissance du contexte. Objectif : un fine-tuning des règles de détection et de protection qui permet de tirer le meilleur parti de l’outil.

Cette étape peut aller de quelques semaines à 2 mois, pour couvrir tous les cas de figure susceptibles de survenir au fil du temps.

Les interconnexions peuvent se faire sur la même période : SSO, identification des données qui doivent remonter dans un SIEM, connexion d’un SOAR, d'une sandbox, de scripts API pour récupérer des données...
A ce stade, l’administrateur réseau devra ouvrir les flux entre les briques de sécurité.

Suivi, support et reporting

Une fois les agents installés et déployés et les whitelists définies, les règles de détection et de protection peuvent faire l’objet d’ajustements réguliers permettant une réponse toujours plus adaptée aux besoins de sécurité. Ces nouvelles règles sont intégrées par HarfangLab (aux formats SIGMA / Yara, visibles et éditables), et il est aussi possible pour les clients d’en ajouter selon leurs propres besoins.

Enfin, des points de suivi réguliers sont prévus entre le client et son CSM dédié pour répondre aux questions qui peuvent survenir en cours de route, sur la plateforme, sur les évolutions mensuelles et les nouveautés qu’elles apportent...

HarfangLab au quotidien : ils témoignent

“Nous voulions un accompagnement dédié avec un acteur de proximité, et nous constatons bel et bien au quotidien que le suivi commercial et opérationnel d'HarfangLab est d'une grande qualité. On peut véritablement compter sur leur support très réactif, autant que sur leur équipe CTI toujours en veille et proactive.”
Stéphane Locatelli, Directeur Sécurité Informatique / RSSI – Isagri 

“HarfangLab est un véritable partenaire dont l’investissement va bien au-delà du discours marketing. C’est un réel plaisir de travailler avec des équipes qui proposent un accompagnement et des échanges de qualité !” 
Antonin Garcia, RSSI - Veepee 

“Je voulais une solution qui s'interface avec mon XDR, et je tenais à travailler avec un partenaire de proximité avec qui nouer une relation de confiance, tout en bénéficiant d'un suivi privilégié et de la possibilité de tester des fonctionnalités. Et ça se vérifie en pratique : à chaque fois que j'ai une question technique, j'ai une réponse rapide par des experts cyber qui savent de quoi ils parlent, c'est très appréciable ! Je suis aussi accompagné par une équipe Customer Success qui me permet de pousser l'utilisation de la plateforme toujours plus loin.” 
Vincent Nguyen, Head of Cyber - Stoïk

Vous vous demandez comment notre EDR protège concrètement votre SI ?
Comment fonctionnent nos différents moteurs ?

Demandez une démo !