L’utilité du produit
Le centre de détection et de réaction protège en particulier contre :
- Les malwares
- Les tentatives de phishing (uniquement avec une passerelle de protection de la messagerie)
- Les attaques réseau de type "Man In The Middle" (uniquement avec une sonde réseau complémentaire)
- Les menaces liées à la connexion sur le réseau de terminaux non connus (uniquement avec une sonde réseau complémentaire)
- Les attaques persistantes (APT)
Comment ça fonctionne ?
Notre service de SOC intervient dans les 4 phases du cycle de gestion des incidents.
- Détection et surveillance des événements
- Qualification des alertes
- Réponse à incidents
- Amélioration continue
Notre partenaire
Formind est un leader Français indépendant expert en cybersécurité. Sa mission est simple et belle : protéger ses clients. Qualifié PASSI, en cours de qualification PRIS par l’ANSSI et certifié ISO 27001, Formind aide les clients à être plus résilients et à se protéger des risques numériques à travers ses trois métiers : conseil, intégration et SOC&CERT.
Déploiement et utilisation au quotidien
Cadrage et prérequis
Validation du périmètre, identification des modes de communication et processus opérationnels de gestion des incidents.
Déploiement
Mise à disposition d’un exécutable et/ou d’une GPO et intégration des agents (EDR) par vos soins. Les supports à l’intégration sont fournis concernant les bonnes pratiques et un accompagnement en cas de besoin.
Production
Tous les mois, vous recevrez un tableau de bord synthétique permettant de suivre l’évolution du service (Gestion des incidents, amélioration continue des règles de détection, faux positifs, etc.).
En cas d’incident
Après la phase de levée de doute des réponses au peuvent être réalisées de manière automatique en cas d’accord défini lors du cadrage.
- Isoler un/des poste(s) ;
- Bloquer un/des utilisateur(s)
- Bloquer l’ouverture de fichiers ou d’applications suspectes ;
- Bloquer le téléchargement et l’installation d’un fichier suspect ou d’une application suspecte via Microsoft Defender Antivirus ;
- Bloquer l’exécution par un utilisateur d’un processus suspect ;
- Mettre en quarantaine un fichier suspect via Microsoft Defender Antivirus et l’EDR Harfanglab.
Si l’incident est plus complexe, le service de Réponse à incident (Option) peut être déclenché.