HarfangLab EDR
Endpoint Detection and Response

Facilitez le travail des experts cyber, anticipez les menaces et répondez-y dans les meilleures conditions, pour tous les OS, en Cloud ou On-Premises.

Voir nos offres

edr-hero-facilitez-le-travail-des-analystes

Détectez et bloquez les menaces

Optimisez le travail d’analyse

Maîtrisez votre environnement cyber

Les moteurs de détection d’HarfangLab EDR sont embarqués directement dans les agents déployés sur les endpoints (postes de travail et serveurs), pour une protection au plus proche de la menace.

Facile à installer et scalable, HarfangLab EDR est conçu pour préserver les performances des terminaux, et assure une protection même en cas de déconnexion du réseau.

Déploiement Cloud & On-Premises à isopérimètre

L'IA pour détecter les menaces inconnues et augmenter les capacités des analystes

Nombreux connecteurs pour une stack parfaitement adaptée

Maîtrise de l’environnement de travail grâce au pilotage par API

Paramétrage fin des alertes et listes blanches pour limiter les faux positifs

Accès à 100% des données pour exploiter, agréger, corréler...

Une protection optimale en gardant la maîtrise de votre stratégie cyber

Une boîte blanche pour une gestion simple

Les moteurs de détection de l’EDR d’HarfangLab s’appuient sur des formats ouverts et standards, notamment YARA et Sigma, largement adoptés par les experts en cybersécurité.

Prise en main et partage des données simples,
Intégration fluide avec l’écosystème existant,
Règles de détection transparentes, 100% accessibles et modifiables.

yara-transparent-customizable-rules-harfanglab

Une CTI optimisée en continu

L’équipe CTI d’HarfangLab est en veille active pour identifier les nouvelles menaces. Elle assure la mise à jour des règles de détection, et les utilisateurs peuvent par ailleurs les personnaliser selon leur propre contexte cyber.

Qualification et suivi du cycle de vie des règles,
Mise à jour via MISP,
Accès direct à l’ensemble des règles de détection intégrées à la console.

L’IA pour renforcer la protection et faciliter les investigations

Ashley et Kio, les moteurs IA de l’EDR d’HarfangLab répondent à des cas d’usages concrets.

Ashley détecte les menaces inconnues des bases de données de virus, et les scripts malveillants au plus tôt du processus d’exécution.
Le moteur est entraîné régulièrement pour s’adapter au paysage de la menace, et amélioré en continu pour diminuer le nombre de faux positif et l’impact sur les performances des endpoints.
C’est une couche de protection qui s’ajoute aux autres moteurs et qui permet d’enrichir les règles de détection.

Kio (Know It Owl) est l’assistant personnel des analystes qui répond aux requêtes formulées sur la console en langage naturel, pour rechercher de la documentation ou investiguer sur les événements de sécurité.

strengthen-your-detection-skills-with-ai-harfanglab

Connecteurs et API pour composer le meilleur bouclier cyber

L'EDR d’HarfangLab peut être piloté à 100% par API, et il est conçu pour être interopérable.
Les experts cyber gardent totalement la main sur leur feuille de route, l’environnement dans lequel ils opèrent leurs solutions de sécurité, et ils peuvent facilement corréler des données provenant de différentes sources.

Des investigations plus faciles et plus poussées

L’EDR d’HarfangLab offre de nombreuses fonctionnalités pour exploiter les données collectées afin de supporter le travail d’investigation et de remédiation.

Les analystes sont ainsi en mesure de comprendre précisément ce qui se passe sur le système d’information, et d’identifier l’origine d’un événement pour intervenir en conséquence : levée de doute, investigation, blocage de menaces, durcissement de la protection...

Visibilité sur toutes les informations relatives aux événements de sécurité (modalités de détection, événements liés, processus parents et enfants...) pour pouvoir les corréler,
Options de blocage ou d’interruption de processus, isolation d’endpoints, suppression de fichiers ou de services...,
Jobs d’investigation afin d’enrichir les données, et comprendre l'origine d’un incident pour renforcer la protection,
Filtrage dynamique pour exploiter les données directement sur la plateforme,
Agrégation des données sur les alertes et la télémétrie pour les explorer facilement.

in-depth-investigations-simple-harfanglab

Qu'est-ce qu'un EDR ?

Un EDR (Endpoint Detection and Response) est une solution de sécurité qui protège les terminaux (postes de travail et serveurs) grâce à un agent installé dessus, pour détecter les menaces et y remédier. Il peut détecter la présence de fichiers, mais aussi de comportements malveillants, des indicateurs de compromission... et il peut générer des alertes ou bloquer des menaces en offrant un niveau d’information qui permet d’investiguer autour de l’événement de sécurité détecté.

Quelle est la différence entre EDR et EPP ?

L'EPP (Endpoint Protection Platform) est un outil de protection contre les menaces qui peut inclure un antivirus, un pare-feu, la protection des ports USB... Il permet de bloquer automatiquement les menaces, par exemple lorsqu’il détecte la présence d’un fichier malveillant, une connexion réseau non autorisée, le branchement d’un périphérique USB... L’EPP peut aussi alerter en cas d’activité anormale.

Un EDR, quant à lui, se concentre sur la détection et la réponse aux menaces au moment de l’exécution d’un programme, ou en analysant des comportements sur un parc informatique. Il est en plus capable de collecter les données liées à un événement de sécurité, en vue de le qualifier et prendre les mesures nécessaires en cas de menace.

Un EDR peut-il détecter des menaces inconnues ?

HarfangLab EDR s'appuie sur différents moteurs de détection, dont un moteur d’analyse comportementale et un moteur basé sur l’Intelligence Artificielle, ce qui permet d’identifier et de répondre aux menaces qui ne sont pas répertoriées dans les bases de données de menaces connues.

Quels sont les systèmes d’exploitation supportés par HarfangLab ?

Tous les OS sont supportés : Windows, Linux et macOS. Notre documentation détaillée est disponible pour plus d'informations.

Quelles sont les options de déploiement d’HarfangLab EDR ?

HarfangLab peut être déployé dans le Cloud comme sur une infrastructure On-Premise, tout en profitant des mêmes fonctionnalités.
Quel que soit le mode d’installation, les agents sont déployés directement sur les endpoints et communiquent avec la console pour partager les données de télémétrie et récupérer les politiques de détection et de blocage des menaces.
Les mises à jour ne nécessitent aucun redémarrage des endpoints, et pour ce qui est du déploiement On-Premise, elles peuvent être opérées à distance ou sur site.