Base de connaissances

Retour à l’aperçu de l’assistance

Managed Threat Hunting (MTH) développé by ThreatDown est un service basé sur le cloud conçu pour détecter les attaques potentielles corrélées aux renseignements sur les menaces, aux réponses automatisées et orchestrées, ainsi qu'un résumé des indicateurs de compromission et une procédure de transmission par l'intermédiaire d'une équipe de personnel de sécurité.

Cet article s’applique à tous les clients MTH.

Fonctionnalités de Managed Threat Hunting

  • Conseils de chasse et de correction des menaces actives Malwarebytes Endpoint Detection and Response (EDR) 24h/24, 7j/7 et 365j/an.
  • Personnel de sécurité formé ayant une expérience au service de clients de différentes tailles et de différents secteurs.
  • Intelligence artificielle et apprentissage automatique en arrière-plan reposant sur un moteur d’analyse propriétaire.
  • Plateforme propriétaire en arrière-plan, basée sur le cloud avec sources de renseignement intégrées.
  • Rétrospective de 31 jours des indicateurs critiques de compromission (IoCs).
  • Incidents discrètement signalés par le portail Nebula® ThreatDown.
  • Notifications hiérarchisées pilotées par le client en fonction de la gravité de l’incident.

Premiers pas

Une fois le service activé sur votre compte, TeamViewer vous le confirmera via une fenêtre contextuelle. Sélectionnez le bouton Setup MTH pour passer à la configuration initiale.

Configurez les contacts principal, de secours et alternatif sur l’écran suivant. Sélectionnez le menu déroulant du contact principal et sélectionnez le membre souhaité dans le profil de votre entreprise. S’il n’est pas saisi automatiquement, insérez le numéro de téléphone principal de ce contact.

Note : Seule la personne-ressource principale est requise. Des contacts de secours et alternatifs peuvent être ajoutés si nécessaire.

Une fois terminé, cliquez sur Enregistrer dans le coin supérieur droit de l’écran. Une notification contextuelle indique que Managed Threat Hunting a été activé avec succès.

Note : EDR doit être activé avant de tenter d’activer Managed Threat Hunting. Un message d’erreur s’affiche si vous essayez d’activer le module complémentaire MTH avant d’activer Endpoint Detection & Response.

Comment accéder au portail MTH

Le portail MTH (Managed Threat Hunting) gère tous les aspects du service. On peut y accéder en sélectionnant le bouton Nebula, qui se trouve dans les paramètres ou dans l’onglet détections. Une fois dans Nebula, sélectionnez Managed Services dans le coin supérieur droit.

Découvrir le portail MTH

Tous les rapports concernant les menaces détectées par Managed Threat Hunting sont disponibles dans le portail MTH. Pour accéder aux autres sections du portail MTH, utilisez le menu situé dans le coin supérieur gauche.

Vue d'ensemble

L'onglet Overview (Vue d'ensemble) fournit un résumé centralisé et de haut niveau de vos cas d'infogérance par le biais d'une collection de widgets interactifs. Ces widgets sont conçus pour offrir une vue d'ensemble de l'activité des cas, aidant les utilisateurs à surveiller et à évaluer la posture de sécurité de leur environnement Nebula de manière efficace. En présentant des données concises et pertinentes, l'onglet Overview sert de point de départ pour comprendre les tendances, identifier les zones de préoccupation et prioriser les actions.

Cet onglet est particulièrement utile pour comprendre rapidement les activités malveillantes dans votre environnement. Il prend en charge le filtrage temporel, ce qui permet aux utilisateurs de limiter l'étendue des informations affichées à une période donnée. Cette fonctionnalité facilite l'analyse des tendances ou l'investigation des incidents dans un laps de temps donné.

Les widgets suivants sont disponibles dans l'onglet Overview, chacun ayant une fonction spécifique :

  1. Cases by Stage (Cas par stade) : Ce widget fournit une vue d'ensemble de l'activité des cas en les classant en fonction de leur stade actuel dans le cycle de vie de la réponse à l'incident. Cela aide les utilisateurs à suivre l'évolution des cas, par exemple s'ils sont nouvellement ouverts, en cours d'enquête ou résolus.
  2. Cases by Priority (Cas par Priorité) : Ce widget affiche le nombre de cas ouverts regroupés par niveau de priorité. La mise en évidence de l'urgence de chaque cas permet aux utilisateurs d'identifier rapidement les cas hautement prioritaires qui peuvent nécessiter une attention immédiate, garantissant ainsi que les problèmes critiques sont traités rapidement.
  3. Top Case Close Reasons (Principales raisons de clôture des dossiers) : Ce widget identifie les raisons les plus courantes de clôture des dossiers, telles que déterminées par les analystes. La synthèse de ces tendances fournit des informations précieuses sur les facteurs récurrents à l'origine des résolutions de cas, aidant les équipes à optimiser leurs stratégies de réponse et à améliorer les résultats futurs.

Cas

L'onglet Cases de la page Managed Services affiche une liste de cas ouverts et leurs détails. Les informations suivantes sont disponibles dans l'onglet Cases :

  • Alerts (Alertes) : Nombre de détections liées au cas.
  • Assigned analyst (Analyste assigné) : Analyste affecté au cas. 
  • Case name (Nom du cas) : Détection (DE) ou Activité suspecte (SA) suivi du nom du terminal et du chemin d'accès de la détection.
  • Close reason (Raison de la clôture) : Raison pour laquelle l'analyste a clôturé le cas.
  • Closed at (Date de clôture) : Date à laquelle le dossier a été clôturé.
  • Created at (Créé à) : Heure à laquelle le cas a été ouvert.
  • Endpoint (Terminal) : Nom de l'appareil contenant les alertes.
  • ID : Numéro d'identification du cas.
  • Priority (Priorité) : Urgence du cas.
  • Stage (Stade) : Phase actuelle du cas.
  • Statut : Cas ouvert ou fermé.
  • Updated at (Mis à jour le) : Dernière mise à jour du dossier.

Comment consulter les détails d'un cas

Pour consulter les détails d'un cas MTH, cliquez sur le numéro d'ID dans la colonne ID. Les informations suivantes apparaîtront dans un nouveau volet :

  • Communications et historique  

L'onglet Communications & History (Communications et historique) dans le volet des détails du cas fournit un enregistrement complet de son déroulement. Il comprend les communications entre les analystes, les instructions de remédiation détaillées et un journal des actions entreprises au cours de la procédure.  

Pour affiner les informations affichées, vous pouvez utiliser les icônes pour filtrer des événements spécifiques, tels que des commentaires, des mises à jour de statut ou d'autres changements clés, afin de garantir un accès rapide aux détails les plus pertinents.  

  • Alertes et artefacts

Un seul cas peut englober plusieurs alertes, représentant souvent plusieurs activités malveillantes interconnectées se produisant sur le même terminal. Ces alertes sont regroupées pour faciliter l'analyse et améliorer le contexte. L'onglet Alerts & Artifacts vous permet d'examiner les alertes associées à un cas et les éléments connexes. Pour une investigation plus approfondie, le bouton Go to detection (Aller à la détection) situé à côté de chaque alerte permet d'accéder directement à la détection spécifique ou à l'activité suspecte liée à ce cas. 

Comment configurer MTH pour optimiser la protection de vos points de terminaison

MTH nécessite des paramètres spécifiques de la part de l’EDR pour fonctionner correctement. Ces paramètres se trouvent dans les paramètres de stratégie Endpoint Protection. Pour y accéder, accédez aux paramètres d’administration et sélectionnez Stratégies sous Gestion des appareils. Si vous avez déjà créé une stratégie, vous pouvez la modifier. Autrement, vous pouvez créer une nouvelle stratégie en sélectionnant Endpoint Protection dans la liste déroulante de la stratégie. Assurez-vous que les paramètres suivants sont actifs sous le système d’exploitation approprié :

  1. Surveillance des activités suspectes
  2. Surveillance du système d’exploitation du serveur
  3. Verrouiller le point de terminaison lorsqu’il est isolé
  4. Annulation des ransomwares

5. Surveillance des activités suspectes

6. Verrouiller le point de terminaison lorsqu’il est isolé

Comment garantir l’efficacité des notifications

Il est important de configurer toutes les notifications nécessaires pour vous assurer, vous et votre équipe, de rester vigilants face aux menaces potentielles. Les informations suivantes concernent les notifications spécifiques à Managed Threat Hunting.

Note : Les notifications sont gérées dans la console Nebula de ThreatDown.

Lors de la création d’une notification, sélectionnez « Managed services activity » (Activité des services gérés).  

Il est recommandé d’ajouter certaines conditions concernant l’envoi des notifications. Cela permet à vos administrateurs de ne pas être submergés de messages qui ne nécessitent pas leur attention.

Sélectionnez chaque option de champ ci-dessous pour voir ses valeurs disponibles :

est égal à

  • Tout
  • Cas créé
  • Cas mis à jour
  • Cas classé

est égal à

  • Tout
  • Critique
  • Haut
  • Moyen
  • Bas

est égal à

  • Vrai
  • Faux

Dans la section suivante, sélectionnez le mode d’envoi des notifications. En plus de l’e-mail, vous pouvez choisir d’être averti via Slack/Microsoft Teams, Webhook ou l’application ThreatDown Admin.

Dans la dernière étape, l’agrégation peut être activée, ce qui réduit le nombre de notifications reçues et permet de se concentrer davantage. Cela regroupe plusieurs alertes en notifications uniques en fonction de l’intervalle et de l’option de regroupement que vous sélectionnez, ainsi que des types d’activités, des conditions et des méthodes de diffusion précédemment choisis.

Sélectionnez Terminer dans le coin inférieur droit pour enregistrer la nouvelle notification.