Les étapes de l’onboarding client On-Premises chez HarfangLab

HarfangLab, est non seulement un EDR, et c’est aussi une équipe dédiée à ses clients qui assure un support et un accompagnement de proximité. Que se passe-t-il après la signature d'un contrat ? Quelles sont les étapes de l’onboarding ? Qui doit être impliqué ?

Voyons les étapes du déploiement de l'EDR d'HarfangLab On-Premises, qui offre les mêmes fonctionnalités que la version Cloud. Ces étapes sont suivies par un partenaire pour les clients qui optent pour un service managé via un MSSP.

Préparation et déploiement de l’environnement On-Premises

1. Préparation de l'infrastructure client et ateliers initiaux pour identifier les contraintes d’architecture
2. Confirmation du nombre d’endpoints à protéger et de la période de rétention des données autres que celles liées aux alertes (pouvant s'étendre sur plusieurs mois en cas d'investigation après un incident)
3. Dimensionnement des serveurs
4. Coordination avec les intervenants du projet chez le client ou le MSSP : Chef de projet, Architecte, SOC Manager, Equipe Infra (systèmes & réseaux)...  
   Selon le matériel indiqué et les prérequis techniques, des ateliers peuvent être organisés en complément sur des sujets spécifiques Architecture, Interconnexions avec l'environnement cyber existant, Déploiement du manager et des agents, Supervision de l'infrastructure...).
5. Installation du manager dans l'environnement client et déploiement des agents
6. Observation des comportements sur les endpoints protégés et ajustement éventuellement en lien avec le MSSP

Dans la durée, l’éditeur et / ou le MSSP assurent le maintien en conditions opérationnelles (MCO) de la solution, le support et le reporting, ainsi que le cycle de mises à jour.
Objectif : créer un cercle vertueux de la protection ! 

Installation et déploiement des agents

Deux approches peuvent être envisagées pour installer et déployer les agents :

1. Établir d'abord les groupes et les politiques de protection et de détection, puis déployer les agents ;
2. Déployer d'abord tous les agents, puis créer les politiques de protection et de détection, ainsi que les groupes.

Le processus d'installation des agents s'intègre nativement aux outils de déploiement couramment employés.

Observation des comportements sur les endpoints protégés

Une fois que les agents sont déployés, les premières alertes apparaissent dans la console, permettant ainsi de trier les faux positifs, les comportements suspects, les fichiers malveillants, etc., afin de créer des whitelists. Plus les autorisations des utilisateurs sont étendues, plus il y a d'événements à évaluer, nécessitant une analyse humaine qui reste essentielle.

En cas de comportement suspect, les experts en cybersécurité ou les responsables de la sécurité peuvent examiner et classifier les événements en fonction de leur compréhension du contexte.

L'objectif est d'affiner les règles de détection et de protection pour optimiser l'efficacité de l'outil. Cette phase peut prendre de quelques semaines à deux mois pour couvrir tous les scénarios possibles au fil du temps.

Suivi, support et reporting

Une fois que les agents sont opérationnels et que les whitelists sont établies, les règles de détection et de protection peuvent être ajustées régulièrement pour s'adapter constamment aux exigences de sécurité. Ces nouvelles règles sont intégrées par HarfangLab (au format Sigma / YARA, visibles et modifiables), et les clients ont également la possibilité d'ajouter des règles selon leurs besoins spécifiques.

Enfin, des points de suivi réguliers sont planifiés avec le client pour répondre à d'éventuelles questions tout au long du déploiement et à terme dans le cadre de l’utilisation de la console, que ce soit concernant la plateforme, ou les évolutions et les nouvelles fonctionnalités qu'elles apportent.

En résumé : qui fait quoi pendant le déploiement On-Premises d’HarfangLab ?

• Architecte
  • S’assure que le déploiement de la solution se fait dans le respect des exigences de sécurité de l’organisation
  • Représente l’autorité technique sur les architectures de sécurité
    
    
• Chef de projet
  • Pilote l’ensemble du projet (planning, ressources...)
  • Coordonne les différents profils nécessaires au bon déploiement de la solution
    
    
• Equipes Infra
  • Préparation et déploiement de l’environnement Installation et déploiement des agents SOC
  • Observation des comportements sur les terminaux protégés Adaptation de l'EDR à votre contexte (whitelists, configuration des moteurs...)

HarfangLab au quotidien : ils témoignent

"Les équipes d'HarfangLab nous ont permis de procéder à une installation très rapide. Nous avons pu avancer aussi vite car toutes les questions que nous avons pu soulever ont reçu une réponse dans des délais très courts. Par exemple, les sujets de configuration côté CTI étaient traités en moins de 2h. Cette efficacité, ainsi que la capacité des équipes d'HarfangLab à anticiper les situations que nous avons pu rencontrer, comptent parmi les clés du succès de notre partenariat."
Emmanuel Pieters, CoE CYBER - Axians

Vous vous demandez comment notre EDR protège concrètement votre SI ?
Comment fonctionnent nos différents moteurs ?