Que sont les services MDR (Services gérés de détection et de neutralisation des menaces) ?
Les services MDR sont proposés par des fournisseurs tiers qui utilisent des analystes qualifiés, des outils intégrés, des renseignements sur les menaces et des technologies provenant à la fois du fournisseur et d'Acronis pour surveiller les menaces de sécurité et les failles potentielles et y répondre.
Lorsque la fonctionnalité MDR est activée pour les clients dans le portail de gestion, Acronis transmet la télémétrie des incidents au fournisseur MDR pour qu'il mène des activités d'investigation et de réponse sur ces incidents. Notez que seuls les incidents qui ne sont pas automatiquement corrigés sont transmis au fournisseur MDR.
Principaux éléments de la fonctionnalité MDR
La fonctionnalité MDR est composée de trois éléments principaux :
Surveillance
Les fournisseurs MDR surveillent les alertes de sécurité et les notifications provenant des terminaux du client. Le fournisseur hiérarchise ensuite ces alertes et les met en corrélation avec les menaces courantes, les cyberveilles internes et tierces en s'aidant de l'analyse, de l'orchestration de la sécurité et des réponses. Il détermine ainsi si les alertes ou les notifications constituent une violation ou une compromission.
Tout événement de sécurité considéré par le fournisseur MDR comme une menace potentielle pour la sécurité est transformé en incident de sécurité pour le client et mis à disposition dans la console Cyber Protect. Le fournisseur fournit un contexte sur la gravité de la menace et sur les mesures correctives recommandées (en intégrant toutes les mesures déjà prises).
Isolation
Les analystes du fournisseur MDR s'appuient sur des guides tactiques prédéfinis pour lancer des réponses en vue d'isoler les terminaux. Toute mesure d'intervention du fournisseur MDR est reflétée dans l'incident de sécurité concerné. La décision d'isoler un poste de travail est prise sur la base des données de ce poste et d'informations supplémentaires provenant de la cyberveille et de la recherche sur les menaces.
Correction et intervention
Les activités de correction et d'intervention interviennent une fois que les activités initiales de surveillance et d'isolation sont terminées. Lorsqu'un incident de sécurité est détecté, le fournisseur MDR lance des mesures d'intervention en fonction de l'incident de sécurité. Les activités de correction et d'intervention comprennent :
- Conseils sur l'atténuation, l'arrêt ou la prévention des incidents de sécurité sur la base des données, des renseignements et des avis fournis.
- Analyse et enquête sur les événements liés à la sécurité afin de déterminer la cause première et l'étendue de la compromission.
- Exécution de flux de travail approuvés (définis dans les guides tactiques du fournisseur MDR) afin d'isoler les ressources, de mettre les menaces en quarantaine ou de corriger totalement la menace.
- Mies à la disposition du fournisseur de services d'une remontée du problème détaillée, mentionnant l'incident de sécurité pour le client, la cyberveille et les conseils.
- Remontée des incidents par différents canaux, y compris la création d'un incident de sécurité, les notifications par e-mail et les appels téléphoniques, et transmission aux coordonnées fournies par le client.
- Maintien d'une ligne de communication avec le client jusqu'à ce que la menace soit éliminée, avec mises à jour en temps opportun à l'apparition de nouvelles informations.
- Lorsque les mesures d'intervention sortent du cadre des services MDR, le fournisseur suggère des recommandations sur les points à privilégier. Il peut s'agir de recommandations concernant des services supplémentaires tels que des interventions sur incidents.
Matrice de responsabilité : Qui fait quoi ?
Pour tirer le meilleur parti de MDR, il est important d’assurer une répartition claire et une bonne compréhension des responsabilités entre toutes les parties impliquées dans le processus. Voici un exemple de tableau RACI pouvant être utilisé pour définir les rôles dans le processus, aussi bien pour les fournisseurs MDR que pour les fournisseurs de services managés (MSP) : R (Responsable), A (Autorité), C (Consulté) et I (Informé).
| Action | Fournisseur MDR | MSP |
|---|---|---|
|
Déploiement d'agents sur les terminaux, y compris l'inscription |
R, A |
|
|
Configuration du plan de protection (pour EDR) |
I |
R, A |
|
Surveillance 24h/24 et 7j/7 des nouvelles alertes ou des alertes mises à jour |
R, A |
I |
|
Enquête et isolation des incidents |
R, A |
I |
|
Génération de rapports d'analyse des causes profondes |
R, A |
I |
|
Mises à jour des incidents |
R, A |
I |
|
Première réponse au verdict par différents canaux de communication |
R, A |
I |
|
Génération de recommandations d'incidents |
R, A |
I |
|
Application des recommandations d'incidents (y compris la restauration et la récupération à partir d'une sauvegarde) |
Standard : C Advanced : R, A |
Standard : R, A Advanced : C, I |
|
Génération de rapports mensuels |
R, A |
I |
|
Enquêtes sur incident à la demande |
A, C |
R, C |