Panier d’achat

Aucun produit dans le panier.

Sophos NDR Hero Image

Sophos NDR – Éliminer les points aveugles du réseau

Dans mes derniers articles, j’ai parlé de Sophos Managed Detection and Response (MDR). En commençant par le changement de nom de MTR en MDR, jusqu’aux nouveaux et puissants modules complémentaires permettant d’intégrer également des données de télémétrie de fournisseurs tiers.

Ceux qui ont lu ces deux articles auront certainement compris que Sophos MDR est un service indispensable pour protéger son entreprise contre les attaques réseau et la cybercriminalité. En réalité, ce n’est que le début.

Ne vous méprenez pas – avec Sophos MDR, vous avez en fait déjà fait beaucoup pour la sécurité de votre réseau ! L’agent Sophos fonctionne (je l’espère) sur chaque ordinateur et serveur et votre Sophos Firewall est connecté via Synchronized Security et envoie des logs dans le Data Lake. De plus, vous avez confié la surveillance et la réaction à l’équipe Sophos MDR (Sophos X-Ops), qui est sur le qui-vive 24h/24 et 7j/7. Bravo ! 👏

Vous utilisez un pare-feu tiers ? Pas de problème. Grâce aux nouvelles intégrations, tu peux également connecter des appareils de Palo Alto Networks, Fortinet, Check Point, Cisco ou SonicWall avec le MDR Firewall-Add-on.

Les taches aveugles en ligne de mire

Mais bien que la combinaison du pare-feu et de Sophos Managed Detection and Response constitue un duo de rêve absolu pour sécuriser le réseau de l’entreprise, il reste malgré tout des questions en suspens qui empêchent un administrateur informatique consciencieux de dormir :

  • Comment protéger nos appareils IoT, terminaux POS, imprimantes, clients légers, téléviseurs intelligents, etc. sur lesquels aucun agent Sophos ne peut être installé ?
  • Comment surveiller le trafic réseau derrière notre pare-feu ?
  • Comment surveiller et analyser le comportement des utilisateurs internes ?
  • Comment garder un œil sur le mouvement des données sur le réseau ?
  • Comment réussir à faire régulièrement l’inventaire des actifs de notre réseau ?
  • Comment puis-je détecter les nouveaux systèmes ou les systèmes non autorisés sur notre réseau ?
  • Comment puis-je avoir un aperçu du trafic crypté sur notre réseau ?

Autant de questions importantes auxquelles Sophos Network Detection and Response (NDR) permet effectivement de répondre. NDR ajoute un facteur décisif à la ligne de défense. Avec le pare-feu, vous contrôlez le trafic qui entre et sort du réseau de l’entreprise et avec Intercept X Advanced et le service MDR, vous pouvez détecter les comportements suspects sur les systèmes d’extrémité et les serveurs (sur lesquels l’agent Sophos est installé). Mais qu’en est-il du trafic dans l’ensemble de l’environnement ?

Les attaquants font tout pour ne pas être détectés et éviter la détection est une tactique bien connue dans le cadre de MITRE ATT&CK® au niveau du système. Les exploits peuvent par exemple se cacher des solutions EDR et les attaquants peuvent désactiver et supprimer les protocoles système. Mais là où il n’y a pas d’échappatoire, c’est qu’un attaquant doit se déplacer sur le réseau. Et c’est précisément ce que le capteur NDR de Sophos va consigner, quelle que soit la discrétion ou la prudence de l’attaquant. Il laisse des traces à chaque action.

Qu’est-ce que Sophos NDR ?

Sophos Network Detection and Response (NDR) est proposé sous la forme d’une appliance virtuelle qui surveille de manière passive l’ensemble du trafic réseau via un port span. Tout ce qui est enregistré via ce port est soumis à une détection des menaces en temps réel basée sur cinq algorithmes clés fournis avec NDR.

La technologie derrière NDR a déjà été acquise par Sophos en juillet 2021 par le rachat de la société « Braintrace ». Braintrace avait développé une machine virtuelle capable de surveiller le trafic réseau à l’aide de cinq algorithmes clés et de distinguer ainsi les activités malveillantes ou bénignes.

Lorsque la détection d’une menace à l’aide de ces cinq algorithmes clés est concluante, celle-ci est transmise au Sophos Data Lake, où elle est classée et évaluée. Des cas sont ainsi générés, puis analysés et validés par l’équipe de réponse aux menaces de Sophos. Les informations du capteur NDR peuvent également être mises en corrélation avec les informations d’autres capteurs, tels que les fonctions d’identité, de messagerie et de réseau et de pare-feu.

Les cinq algorithmes clés de NDR

Examinons de plus près les cinq puissants algorithmes que Sophos NDR met à notre disposition :

Analyse de la charge utile cryptée (EPA)

Ce moteur peut même détecter les logiciels malveillants dans le trafic crypté, où ils peuvent sinon souvent rester cachés.

Algorithme de génération de domaine (DGA) 

Ce moteur aide à détecter les communications avec les serveurs de commande et de contrôle (C2) et d’autres domaines malveillants, et ce sans données connues sur les menaces.

Session d’analyse des risques (SRA) 

Identifier les caractéristiques anormales du trafic réseau, comme les certificats auto-signés ou l’utilisation de ports non standardisés. Associées à d’autres activités inattendues/suspectes, ces caractéristiques indiquent un risque élevé qui devrait être examiné.

Moteur de détection de données (DDE)

Ce moteur doit aider à détecter les systèmes du réseau qui ne sont pas administrés par Sophos. Cela permet d’une part d’identifier les lacunes dans la couverture des appareils autorisés et d’autre part de détecter les systèmes ou appareils non autorisés et potentiellement malveillants.

Inspection approfondie des paquets (DPI) 

L’inspection approfondie des paquets permet de rechercher sur le réseau des indicateurs spécifiques de compromission. Il peut s’agir d’une communication vers un serveur de commande et de contrôle (C2) ou d’une adresse IP suspecte qui n’a rien à faire sur votre réseau.

Ce dont vous avez besoin pour Sophos NDR

Sophos NDR n’est actuellement disponible que sous forme d’intégration MDR. Cela signifie que vous avez besoin d’une licence MDR active pour pouvoir configurer NDR. Depuis la mi-juillet, les clients XDR ont également la possibilité d’essayer gratuitement NDR via le programme Early Access.

Comme expliqué plus haut, le capteur Sophos NDR (log collector) fonctionne sur une machine virtuelle (VM). Les données y sont collectées et transmises au Data Lake de Sophos. Actuellement, Sophos NDR prend en charge « VMware ESXi 6.7 » ou plus récent et « Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) » ou plus récent.

Essayer Sophos NDR

Ai-je réussi à vous convaincre, ou du moins à éveiller votre curiosité, sur les qualités et les avantages de la solution Sophos NDR grâce à ce billet de blog ? Les clients disposant d’une licence MDR ou XDR peuvent s’inscrire au programme Early Access de Sophos depuis la mi-juillet pour essayer NDR gratuitement. Selon Sophos, l’EAP devrait être activé de juillet à novembre 2023.

Si vous n’utilisez pas encore de licences XDR ou MDR et que vous souhaitez essayer Sophos NDR, il vous suffit de les commander via notre boutique en ligne :

Pour connaître les étapes exactes de l’ajout de NDR en tant qu’intégration à Central, de la configuration de l’image, de son téléchargement et de son déploiement sur la VM, consultez le guide Sophos suivant : Configurer Sophos NDR

Matériel d’information

Sophos Network Detection and Response (NDR) – Guide de démarrage rapide EAP

Sophos Network Detection and Response (NDR) – Fiche de données

Sophos Network Detection and Response (NDR) – Brève description

Sophos Network Detection and Response (NDR) – Whitepaper

David
David

S'abonner à la newsletter

Nous envoyons chaque mois une newsletter contenant tous les articles de blog du mois en question.