Moteur de détection Comportemental
règles Sigma

Le moteur Comportemental basé sur les règles au format standard Sigma identifie les programmes et les comportements malveillants même si aucune signature n’a été détectée par le moteur Signatures - YARA  ou aucun indicateur de compromission par le moteur IOC.

Il sait ainsi identifier les variantes de virus connus pour lesquels les signatures ou IOC sont inconnus, ou encore les nouveaux virus ou programmes qui génèrent des comportements suspects.

Les règles du moteur Comportemental - Sigma sont développées, implémentées, maintenues et enrichies dans la durée par notre équipe de Cyber Threat Intelligence (CTI), par systèmes d'exploitation (OS) et par versions.

Ce travail de recherche et développement continu contribue à la qualité et à la valeur de l’EDR, qui offre un accès complet aux règles de détection afin de permettre aux analystes d’identifier l’origine des alertes.

Par ailleurs, les règles peuvent être modifiées et enrichies. Les utilisateurs peuvent ainsi ajouter des règles venant de sources tierces, ciblées selon leur propre contexte ou plus larges en vue de déceler des signaux faibles.

Le moteur Comportemental – Sigma prend en entrée les événements sur les postes de travail et les serveurs, et il applique les règles développées par l’équipe CTI pour une détection des comportements suspects ou malveillants couvrant des menaces telles que : techniques d’élévation de privilèges, vol de données dans des navigateurs ou des processus, persistance...