Les IOC peuvent être complétés par les utilisateurs pour élargir les capacités de détection ou d’investigation de l’EDR en fonction des besoins et du paysage de la menace.
Moteur de détection Indicateurs de Compromission IOC
Un moteur de détection basé sur les Indicateurs de Compromission pour générer des alertes sur des marqueurs associés à des menaces connues.
Le moteur IOC peut être configuré pour scanner les exécutables dès leur écriture sur le disque.
Il peut alerter entre autres sur :
- IP
- Hash
- URL
- DNS
Les IOC ont une durée de vie courte. Ainsi, pour assurer une protection optimale et continue, un EDR doit pouvoir se connecter facilement avec des solutions tierces en vue d’enrichir les IOC et les faire évoluer dans la durée.
L’EDR d’HarfangLab permet notamment de se connecter avec des solutions de Threat Intelligence telles qu'OpenCTI, base de connaissance d’IOC.
Ce connecteur permet notamment d'intégrer les IOC d'OpenCTI dans HarfangLab, et de récupérer les Security Events et les Threats d’HarfangLab pour les intégrer dans OpenCTI.
De cette façon, les analystes peuvent centraliser les données et structurer les informations sur les menaces et les groupes d’attaquants pour améliorer leur connaissance du contexte cyber.
Pour aller plus loin
EDR certifié CSPN par l'ANSSI
Les avantages des règles Sigma et YARA dans un EDR
Sigma et YARA sont des formats de règles qui permettent de détecter les menaces – respectivement les comportements et les…
EDR avec moteur de détection IA - Ashley
EDR avec détection des Signatures - Règles YARA
