HarfangLab, est non seulement un EDR, et c’est aussi une équipe dédiée à ses clients qui assure un support et un accompagnement de proximité. Que se passe-t-il après la signature d'un contrat ? Quelles sont les étapes de l’onboarding ? Qui doit être impliqué ?
Voyons les étapes du déploiement de l'EDR d'HarfangLab On Premise, qui offre les mêmes fonctionnalités que la version Cloud. Ces étapes sont suivies par un partenaire pour les clients qui optent pour un service managé via un MSSP.
Préparation et déploiement de l’environnement On Premise
En premier lieu, les équipes commerciales confirment le nombre d’endpoints à protéger et la période de rétention des données autres que celles liées aux alertes (pouvant s'étendre sur plusieurs mois en cas d'investigation après un incident).
En fonction du nombre d’endpoints à protéger, de la durée de rétention des données et du niveau de résilience requis, les serveurs nécessaires au bon fonctionnement de l'application sont dimensionnés en conséquence.
Les équipes de HarfangLab entrent alors en contact avec les personnes impliquées dans le projet chez le client :
- Chef de projet
- Architecte
- SOC Manager
- Equipe Infra (systèmes & réseaux).
Après un atelier initial visant à identifier les contraintes d’architecture, et selon le matériel indiqué et les prérequis techniques, des ateliers peuvent être organisés pour accompagner les différentes phases du déploiement en tout ou partie :
- Architecture
- Interconnexions avec l'environnement cyber existant
- Déploiement du manager
- Déploiement des agents
- Supervision de l'infra
- Suivi du cycle de MCO (mises à jour...).
Installation et déploiement des agents
Deux approches peuvent être envisagées pour installer et déployer les agents :
- Établir d'abord les groupes et les politiques de protection et de détection, puis déployer les agents ;
- Déployer d'abord tous les agents, puis créer les politiques de protection et de détection, ainsi que les groupes.
Le processus d'installation des agents s'intègre nativement aux outils de déploiement couramment employés.
Observation des comportements sur les endpoints protégés
Une fois que les agents sont déployés, les premières alertes apparaissent dans la console, permettant ainsi de trier les faux positifs, les comportements suspects, les fichiers malveillants, etc., afin de créer des whitelists. Plus les autorisations des utilisateurs sont étendues, plus il y a d'événements à évaluer, nécessitant une analyse humaine qui reste essentielle.
En cas de comportement suspect, les experts en cybersécurité ou les responsables de la sécurité peuvent examiner et classifier les événements en fonction de leur compréhension du contexte.
L'objectif est d'affiner les règles de détection et de protection pour optimiser l'efficacité de l'outil. Cette phase peut prendre de quelques semaines à deux mois pour couvrir tous les scénarios possibles au fil du temps.
Suivi, support et reporting
Une fois que les agents sont opérationnels et que les whitelists sont établies, les règles de détection et de protection peuvent être ajustées régulièrement pour s'adapter constamment aux exigences de sécurité. Ces nouvelles règles sont intégrées par HarfangLab (au format SIGMA / Yara, visibles et modifiables), et les clients ont également la possibilité d'ajouter des règles selon leurs besoins spécifiques.
Enfin, des points de suivi réguliers sont planifiés avec le client pour répondre à d'éventuelles questions tout au long du déploiement et à terme dans le cadre de l’utilisation de la console, que ce soit concernant la plateforme, ou les évolutions et les nouvelles fonctionnalités qu'elles apportent.
En résumé : qui fait quoi pendant le déploiement On Premise d’HarfangLab ?
- Architecte
- S’assure que le déploiement de la solution se fait dans le respect des exigences de sécurité de l’organisation
- Représente l’autorité technique sur les architectures de sécurité
- Chef de projet
- Pilote l’ensemble du projet (planning, ressources...)
- Coordonne les différents profils nécessaires au bon déploiement de la solution
- Equipes Infra
- Préparation et déploiement de l’environnement Installation et déploiement des agents SOC
- Observation des comportements sur les terminaux protégés Adaptation de l'EDR à votre contexte (whitelists, configuration des moteurs...)
HarfangLab au quotidien : ils témoignent
"Les équipes d'HarfangLab nous ont permis de procéder à une installation très rapide. Nous avons pu avancer aussi vite car toutes les questions que nous avons pu soulever ont reçu une réponse dans des délais très courts. Par exemple, les sujets de configuration côté CTI étaient traités en moins de 2h. Cette efficacité, ainsi que la capacité des équipes d'HarfangLab à anticiper les situations que nous avons pu rencontrer, comptent parmi les clés du succès de notre partenariat."
Emmanuel Pieters, CoE CYBER - Axians
Vous vous demandez comment notre EDR protège concrètement votre SI ?
Comment fonctionnent nos différents moteurs ?