Un bundle EDR – EPP pour faciliter le travail des analystes
Accompagner le travail des analystes en cybersécurité pour protéger un système d’information et remédier aux menaces est évidemment au centre de nos priorités. Dans ce sens, les fonctionnalités d’un EPP pour automatiser le blocage des menaces connues permettent aux analystes de limiter les sollicitations et de prioriser l’exploration plus fine des données collectées avec un EDR.
En combinant EDR et EPP, les experts en cybersécurité peuvent aussi centraliser toutes les données et le pilotage des solutions de sécurité à un seul endroit, afin de monitorer efficacement l’activité du parc informatique. C’est un gain de temps considérable par rapport au fait de devoir jongler entre différents outils et compiler des données provenant de sources diverses.
Et les analystes en cybersécurité ne sont pas les seuls à profiter des avantages d’un bundle EDR + EPP !
Un avantage pour tous les gestionnaires et utilisateurs du système d’information
Le fait d’associer EDR et EPP est aussi un atout pour les équipes responsables de la configuration des solutions de sécurité, puisqu’elles peuvent déployer en une seule fois les outils visant à protéger les endpoints : EDR, antivirus, pare-feu, gestion de périphériques externes (USB, bluetooth...)... et tous les opérer depuis une console unique, en réduisant le risque d’erreurs ou d'incompatibilité des configurations de solutions différentes déployées sur un même endpoint.
Pour une DSI, un package EDR + EPP se traduit par un seul cycle de vente, un seul cycle d’installation et de mises à jour... soit moins de ressources à consacrer à la gestion de ces outils.
Enfin, pour les utilisateurs finaux du système d’information, le fait d’associer EDR et EPP leur permet de mieux comprendre ce qu’il se passe sur leur machine ou leur poste de travail, et devenir acteurs de la sécurité de leur organisation. En effet, les utilisateurs finaux n’ont pas accès à l’EDR, toutefois, les alertes générées par l’EPP leur permettent de voir si une menace est détectée et de prendre conscience des risques.
Mais au fait, comment l’EPP d’HarfangLab détecte et bloque les menaces via son antivirus ?
Des fonctionnalités d'antivirus intégrées directement dans l’agent
L’antivirus permet de protéger tous types de machines, des serveurs critiques aux postes de travail des équipes métier.
HarfangLab intègre le moteur antivirus d’IKARUS qui s’appuie sur une base antivirale et différents mécanismes d’évaluation de charge virale, fruit de 40 ans d’expérience en matière de scan de virus et de malwares. Sa configuration et sa gestion s’opèrent à 100% depuis la console d’HarfangLab qui reste le point d’entrée unique, afin d’optimiser la gestion opérationnelle comme la consommation de ressources.
La base antivirale et les heuristiques du moteur sont ainsi fournis par IKARUS, mis à jour automatiquement et régulièrement, puis intégrés et gérés par HarfangLab qui les redistribue vers les consoles de ses clients, gardant ainsi la maîtrise des règles intégrées.
Entrons à présent dans le vif du sujet : voyons les avantages de l’antivirus inclus dans l’EPP d’HarfangLab.
L’analyse des fichiers et des comportements pour bloquer les malwares
L'antivirus analyse la signature des fichiers ainsi que ses caractéristiques (extension, header...), et ce quel que soit le système d’exploitation (Windows, macOS, Linux), afin de déterminer s’il s’agit d’une menace ou d’un fichier légitime. Selon le type de fichier, il est analysé dès son dépôt sur le disque ou à l’exécution.
L’antivirus peut ensuite bloquer voire mettre en quarantaine ces fichiers si la signature correspond à une menace connue de sa base de données.
Plus précisément, chaque fichier, peu importe son apparence (taille, extension...), est soumis à un processus en plusieurs étapes faisant appel à des heuristiques et à une analyse comportementale, en plus de l'analyse statique et de l'analyse traditionnelle basée sur les signatures.
L’analyse inclut les éléments de données suspects, ainsi que la détection des signatures et des exploits, en vue d’isoler et neutraliser immédiatement les virus.
Les fichiers sont exécutés, et le cas échéant surveillés et analysés dans un environnement virtuel fermé.
Maintenant que nous avons vu les méthodes d’analyse des menaces, allons plus loin dans la configuration de l’antivirus.
Les politiques et les configurations de l’antivirus
Toute la configuration (personnalisation des règles, whitelists...) se fait dans l’EDR, ce qui vise à augmenter l’EPP.
Ainsi, la configuration comme la gestion de l’EPP au quotidien, et donc de l’antivirus, sont très simples et ne nécessitent pas de formation spécifique. L’objectif est de favoriser une prise en main immédiate et une utilisation facile.
Et en termes de ressources informatiques ? En toute logique, plus l’antivirus réalise de scans, plus il a besoin de puissance. Alors, pour optimiser les performances des endpoints, il est par exemple possible de limiter les scans à certains types de fichiers.
En résumé, l’antivirus inclus dans l’EPP d’HarfangLab assure :
- Le blocage automatique des menaces connues pour tous les systèmes d’exploitation, et donc la réduction de l’alert fatigue,
- Très peu de faux positifs,
- Une capacité de détection même hors ligne, et en environnement fermé,
- Une rationalisation de la gestion des outils via une console unique (les menaces détectées par l’antivirus remontent dans l’onglet Threats de l’EDR pour une vue centralisée),
- Une amélioration du ratio “temps passé sur la détection / menaces bloquées".
Pour en savoir plus sur nos offres et nos packages et leurs avantages :