CrowdStrike Falcon OverWatch FAQ

CrowdStrike Falcon OverWatch™ est un service de traque gérée des menaces qui détecte les intrusions, les actes de malveillance et les attaquants qui pourraient échapper à la détection. De plus, Falcon OverWatch traque les campagnes de logiciels malveillants insidieuses et destructrices ; elle en avertit les clients et les protège le cas échéant.

Falcon OverWatch a une autre raison d'être qu'un fournisseur de services de sécurité gérés (MSSP). Le rôle de ce dernier est de gérer les produits de sécurité d'un client tels que le pare-feu, les systèmes IDS/IPS, les SIEM et portails web, etc. Même s'ils procurent certains services de détection et de notification, les MSSP se bornent généralement à donner l'alerte, laissant au client la responsabilité de l'investigation, de la priorisation des menaces et des mesures à prendre. Traditionnellement, ces MSSP s'occupent principalement de la surveillance des périmètres de sécurité tels que les pare-feux, la gestion unifiée des menaces (UTM, Unified Threat Management) et les portails Web. Une approche qui s'est avérée insuffisante, puisque des cyberpirates compétents peuvent infiltrer une organisation sans que leur présence soit détectée par ces solutions.

Falcon OverWatch, quant à lui, ne gère pas les produits de sécurité du client. Ce service recherche activement les cybermenaces pour le compte de son client, allant bien au-delà des outils de détection automatiques passifs qu'offrent les technologies de sécurité actuelles. OverWatch recherche, découvre et mène des investigations. Il peut même agir en cas de découverte d'une preuve d'activité suspecte, indiquant une attaque qui, sans son action, ne serait pas détectée. OverWatch communique également des alertes tout en faisant des recommandations de correction, apportant des analyses détaillées qui indiquent au client ce qui vient de se passer et quelle réponse donner à l'attaque. Qui plus est, les MSSP ne sont en général pas en mesure de détecter les attaques avancées. OverWatch, lui, détecte au quotidien les attaques qui ont échappé aux MSSP des clients.  Son efficacité peut être vérifiée par les services de simulation d'attaque CrowdStrike, qui permettent aux clients de mettre à l'épreuve la capacité d'un MSSP à détecter des attaques avancées.

Chaque jour, Falcon OverWatch identifie et bloque des attaques qu'aucun autre système de défense n'a été capable de détecter, et encore moins de bloquer. En moyenne, Falcon OverWatch bloque plus de 15 000 tentatives de compromission par an.

Avec l'agent CrowdStrike Falcon, il n'y a pas besoin d'établir un niveau de référence. Au cours de son investigation, Falcon OverWatch compare les diverses activités des utilisateurs, processus ou postes de travail de l'environnement du client.

Voici un exemple de ce qui pourrait se passer. Falcon OverWatch remarque qu'un utilisateur, Pierre, a utilisé une connexion RDP pour accéder à un serveur et qu'il y a exécuté des commandes suspectes. Falcon OverWatch examine alors toutes les connexions à ce système en comparant les connexions interactives et RDP, ainsi que l'utilisation de RDP de Pierre sur l'ensemble de l'environnement. Autre exemple : OverWatch identifie un processus suspect et vérifie combien de fois et à quel endroit un fichier suspect spécifique a été exécuté au sein de l'environnement. Dans le cadre de son service de traque gérée des menaces, Falcon OverWatch peut pousser la recherche plus loin et essayer de déterminer la prévalence de ce fichier dans tout l'ensemble de données et s'il présente les mêmes caractéristiques à d'autres endroits.

OverWatch a des contacts réguliers avec les équipes des Services CrowdStrike, de l'intervention sur incident et de la cyberveille. Les analystes d'OverWatch échangent des informations avec les équipes Falcon Intelligence™ et d'intervention sur incident, qu'ils aient à attribuer la responsabilité des attaques et à identifier les activités et les logiciels malveillants qu'ils ont trouvés lors de leurs investigations. Dans le cas des interventions sur incident qui font appel à Falcon OverWatch, l'équipe collabore étroitement avec les Services CrowdStrike pour échanger les informations tirées des investigations.

Les investigations rétroactives sont faites lorsque Falcon OverWatch examine des données historiques pour y chercher les traces d'une intrusion. Ce type d'investigation est fréquemment utilisé. Au cours d'une intrusion, des éléments tels que les adresses IP, les noms de domaine, les valeurs de hachage et d'autres indices sont recueillis. Ces artefacts sont intégrés dans la base de données de cyberveille CrowdStrike pour qu'ils déclenchent à l'avenir des alertes sur les interfaces des clients de la plateforme Falcon. Falcon OverWatch effectue également des recherches d'occurrences de ces indicateurs par le passé, enquête sur ce qu'il trouve et prévient le client le cas échéant.

Falcon OverWatch est hautement efficient et capable de s'adapter à de hauts volumes d'événements, de systèmes et de personnel. La mission précise est de dépister les intrusions furtives et ciblées. Falcon OverWatch n'analyse pas seulement les détections sur la plateforme Falcon, mais il exploite aussi des outils internes de détection et d'analyse qui lui sont propres. Ceci donne à OverWatch la faculté d'affiner sa plateforme de détection et d'éliminer les faux positifs, rendant la détection plus précise et allégeant la tâche des analystes. Enfin, OverWatch utilise largement l'automatisation intelligente pour éliminer les tâches de routine et améliorer le rapport signal/bruit chaque fois que c'est possible.

Falcon OverWatch offre plusieurs niveaux progressifs de service qui se renforcent et se complètent. Les clients choisissent l'option qui répond le mieux aux besoins et aux ressources de leur entreprise.

• Falcon OverWatch Standard est le niveau de départ, avec traque proactive des menaces 24/7 et alertes par e-mail de l'équipe Falcon OverWatch dans les minutes qui suivent la détection.
• Falcon OverWatch Premium est le plus haut niveau de service OverWatch. Il comprend tous les services standard, mais également des alertes plus élaborées et un contact personnel. Contrôles proactifs de l'intégrité et de la configuration des solutions, accès direct aux membres de l'équipe OverWatch et réunions d'information trimestrielles avec conseils de sécurité permettent de garder une longueur d'avance sur les attaquants et d'empêcher les compromissions graves.

La licence Falcon est accordée sur la base d'un abonnement par endpoint. Le prix débute à 59,99 dollars par endpoint par an pour l'antivirus de nouvelle génération CrowdStrike Falcon Prevent. Pour de plus amples informations, vous pouvez nous contacter, demander un devis ou acheter le produit dès à présent sur AWS Marketplace.