Harfanglab EDR
Facilitez le travail des experts cyber,
anticipez les menaces et répondez-y
dans les meilleures conditions,
pour tous les OS, en SaaS ou On-Premise.
Les moteurs de détection d’HarfangLab EDR sont embarqués directement dans les agents déployés sur les endpoints (postes de travail et serveurs), pour une protection au plus proche de la menace.
Facile à installer et scalable, HarfangLab EDR est conçu pour préserver les performances des terminaux, et assure une protection même en cas de déconnexion du réseau.
Une protection optimale en gardant la maîtrise de votre stratégie cyber
Les moteurs de détection de l’EDR d’HarfangLab s’appuient sur des formats ouverts et standards, notamment YARA et Sigma, largement adoptés par les experts en cybersécurité.
- Prise en main et partage des informations simple,
- Intégration fluide avec l’écosystème existant,
- Règles de détection transparentes, 100% accessibles et modifiables.
L’équipe CTI d’HarfangLab est en veille active pour identifier les nouvelles menaces. Elle assure la mise à jour des règles de détection, et les utilisateurs peuvent par ailleurs les personnaliser selon leur propre contexte cyber.
- Qualification et suivi du cycle de vie des règles,
- Mise à jour via MISP,
- Accès direct à l’ensemble des règles de détection intégrées à la console.
Le moteur IA de l’EDR d’HarfangLab répond à des cas d’usages concrets : il identifie les menaces inconnues des bases de données de malwares, et il détecte les fichiers binaires et les scripts malveillants avant leur exécution.
Il est entraîné régulièrement pour s’adapter au paysage de la menace, et amélioré pour diminuer le nombre de faux positif et l’impact sur les performances des endpoints.
- Couche de protection complémentaire avec les autres moteurs,
- Risque contenu en amont,
- Enrichissement des règles de détection.
L'EDR d’HarfangLab peut être piloté à 100% par API, et il est conçu pour être interopérable.
Les experts cyber gardent totalement la main sur leur feuille de route, l’environnement dans lequel ils opèrent leurs solutions de sécurité, et ils peuvent facilement corréler des données provenant de différentes sources.
L’EDR d’HarfangLab offre de nombreuses fonctionnalités pour exploiter les données collectées afin de supporter le travail d’investigation et de remédiation.
Les analystes sont ainsi en mesure de comprendre précisément ce qui se passe sur le système d’information, et d’identifier l’origine d’un événement pour intervenir en conséquence : levée de doute, investigation, blocage de menaces, durcissement de la protection...
- Visibilité sur toutes les informations relatives aux événements de sécurité (modalités de détection, événements liés, processus parents et enfants...) pour pouvoir les corréler,
- Options de blocage ou d’interruption de processus, isolation d’endpoints, suppression de fichiers ou de services...,
- Jobs d’investigation afin d’enrichir les données, et comprendre l'origine d’un incident pour renforcer la protection,
- Filtrage dynamique pour exploiter les données directement sur la plateforme,
- Agrégation des données sur les alertes et la télémétrie pour les explorer facilement.
Un EDR (Endpoint Detection and Response) est une solution de sécurité qui protège les terminaux (postes de travail et serveurs) grâce à un agent installé dessus, pour détecter les menaces et y remédier. Il peut détecter la présence de fichiers, mais aussi de comportements malveillants, des indicateurs de compromission... et il peut générer des alertes ou bloquer des menaces en offrant un niveau d’information qui permet d’investiguer autour de l’événement de sécurité détecté.
L'EPP (Endpoint Protection Platform) est un outil de protection contre les menaces qui peut inclure un antivirus, un pare-feu, la protection des ports USB... Il permet de bloquer automatiquement les menaces, par exemple lorsqu’il détecte la présence d’un fichier malveillant, une connexion réseau non autorisée, le branchement d’un périphérique USB... L’EPP peut aussi alerter en cas d’activité anormale.
Un EDR, quant à lui, se concentre sur la détection et la réponse aux menaces au moment de l’exécution d’un programme, ou en analysant des comportements sur un parc informatique. Il est en plus capable de collecter les données liées à un événement de sécurité, en vue de le qualifier et prendre les mesures nécessaires en cas de menace.
HarfangLab EDR s'appuie sur différents moteurs de détection, dont un moteur d’analyse comportementale et un moteur basé sur l’Intelligence Artificielle, ce qui permet d’identifier et de répondre aux menaces qui ne sont pas répertoriées dans les bases de données de menaces connues.
Tous les OS sont supportés : Windows, Linux et macOS. Notre documentation détaillée est disponible pour plus d'informations.
HarfangLab peut être déployé dans le Cloud comme sur une infrastructure On-Premise, tout en profitant des mêmes fonctionnalités.
Quel que soit le mode d’installation, les agents sont déployés directement sur les endpoints et communiquent avec la console pour partager les données de télémétrie et récupérer les politiques de détection et de blocage des menaces.
Les mises à jour ne nécessitent aucun redémarrage des endpoints, et pour ce qui est du déploiement On-Premise, elles peuvent être opérées à distance ou sur site.
Pour aller plus loin
L’Intelligence Artificielle dans un EDR, pour quoi faire ?
EDR et cybersécurité - les avantages de l'IA : comment contenir le risque en amont, grâce à un moteur qui…
Gestion des alertes en cybersécurité : les faux positifs
Pouvoir réagir au plus vite en cas d’incident de sécurité est crucial, mais encore faut-il disposer des bonnes informations au…
Cybersécurité : comment un EDR se protège des attaques
Les techniques d’attaque cyber se perfectionnent et se multiplient, et les outils pour y faire face aussi.
Cybersécurité : la télémétrie expliquée
A quoi sert la télémétrie en cybersécurité ? Quels sont ses usages et quels sont les avantages pour les analystes…
Les avantages des règles Sigma et YARA dans un EDR
Sigma et YARA sont des formats de règles qui permettent de détecter les menaces – respectivement les comportements et les…