Détection et réponse réseau (NDR) expliquées

  • Principaux plats à emporter:
  • Que fait la détection et la réponse réseau (NDR) ?
    NDR analyse en permanence le trafic réseau, crée des modèles comportementaux pour détecter les anomalies et automatise les réponses avec l'IA.
  • Comment NDR a-t-il évolué à partir de NTA ?
    Elle est passée d’une surveillance de base du trafic à une inspection avancée et à une réponse automatisée utilisant des analyses comportementales et de signature.
  • Quelles sont les principales fonctionnalités offertes par le NDR de Stellar Cyber ?
    Inspection approfondie des paquets, capteurs distribués, lac de données centralisé, détection des menaces basée sur l'IA et intégration SOAR automatisée.
  • Comment Stellar Cyber ​​réduit-il le volume de données et améliore-t-il la détection ?
    Il permet une réduction des données jusqu'à 500 fois supérieure tout en les enrichissant avec des informations sur les menaces, permettant une corrélation et une réponse en temps réel basées sur l'IA.
  • Comment le NDR contribue-t-il à unifier les opérations de sécurité ?
    Le NDR de Stellar Cyber ​​est intégré à Open XDR, permettant une corrélation transparente avec SIEM, SOAR, et UEBA sur une seule plateforme.

La détection et la réponse réseau (NDR) offrent une visibilité accrue sur les réseaux d'une organisation en ingérant et en analysant passivement l'activité réseau interne. Avec l'émergence des LLM et les nouvelles exigences en matière de défense réseau en profondeur, les outils NDR évoluent déjà au-delà de cette capacité essentielle. Gartner Rapport NDR détaille comment les outils du marché actuel repoussent les limites avec l'augmentation LLM, la détection des menaces multimodales et le déploiement basé sur IaaS.

L'impact en aval des NDR modernes est significatif : une réponse aux incidents plus cohérente, des analyses plus précises et une analyse forensique plus rapide. Ce guide propose une analyse approfondie des NDR.

#image_titre

Solutions NDR Gartner® Magic Quadrant™

Découvrez pourquoi nous sommes le seul fournisseur placé dans le quadrant Challenger...

En savoir plus
#image_titre

Découvrez la sécurité basée sur l'IA en action !

Découvrez l'IA de pointe de Stellar Cyber ​​pour la détection instantanée des menaces...

Prévoir une démo

Comment fonctionne le rapport de non-remise

Les NDR ont la particularité d'analyser en continu les paquets réseau et les métadonnées de trafic générés par les flux Est-Ouest (internes) et Nord-Sud (réseaux internes et Internet public). Chaque action réseau représente un point de données clé ingéré par le NDR ; chaque donnée est ensuite utilisée pour modéliser le comportement quotidien d'un réseau interne.

Cela permet de détecter immédiatement tout écart. Ces schémas anormaux sont transmis aux analystes pour un examen plus approfondi sous forme d'alerte ; c'est à ce moment-là que le trafic est jugé comme indiquant une attaque, ou inoffensif. Les rapports de non-remise (NDR) modernes dotés de capacités de réponse automatisée peuvent déployer automatiquement une mesure corrective, comme le blocage d'adresses IP, en réponse à une menace identifiée. Cela permet de sécuriser le réseau pendant que l'analyste détermine sa légitimité.

L’évolution du NDR

NDR peut retracer ses premières racines jusqu'à Analyse du trafic réseau (NTA)Cet outil plus ancien était utilisé conjointement par les administrateurs de sécurité et de réseau : il leur permettait de surveiller les actifs qui reçoivent du trafic réseau, la rapidité avec laquelle chaque application ou appareil répond et la quantité de trafic envoyée vers et depuis certaines sources.

Cependant, à mesure que le paysage des menaces évoluait au début des années 2010, les administrateurs de sécurité ont constaté que les données de volume réseau ne fournissaient pas une vision complète. S'appuyer uniquement sur NTA pour la détection des menaces exigeait un administrateur réseau extrêmement expérimenté et perspicace ; cela laissait une grande place au hasard. Network Detection and Response met l'accent sur la collecte universelle de données réseau, ainsi que sur une couche d'analyse supplémentaire.

Les outils NDR d'aujourd'hui Renforcez cette analyse comportementale fondamentale par la comparaison des signatures de fichiers et l'implémentation de règles. Dès qu'une menace potentielle est détectée, NDR peut automatiquement mettre en quarantaine les fichiers suspects, signaler les informations critiques aux administrateurs de sécurité et corréler les alertes avec leurs incidents de sécurité plus larges.

Quel est le rôle du NDR dans la cybersécurité

Traditionnellement, la cybersécurité des organisations s'appuyait sur des outils de détection de menaces statiques tels que les antivirus et les pare-feu : ceux-ci s'appuyaient sur une détection basée sur les signatures, évaluant les fichiers introduits ou partagés sur un réseau par rapport aux indicateurs de compromission dans la base de données de chaque outil.

Cependant, ce système, désormais appelé cybersécurité périmétrique, comportait quelques failles. Par exemple, si le pare-feu n'est pas mis à jour en permanence, un attaquant peut passer à travers les mailles du filet. Dès qu'un appareil ou un service est compromis, la confiance intrinsèque entre les appareils d'un réseau interne est exploitée, permettant à l'attaquant d'escalader ses privilèges.

Les rapports de non-remise exploitent cette chaîne d'attaque et reconnaissent que presque chaque attaque touche au moins un réseau interne. Les équipes de cybersécurité peuvent déployer une solution NDR sur le trafic Nord-Sud et Est-Ouest, leur offrant une visibilité sur le trafic entrant dans l'organisation et partagé entre les appareils internes. Cela bloque l'un des principaux points d'appui des attaquants. Notre Guide de l'acheteur NDR détaille comment ces données de trafic sont traitées et analysées pour détecter d'éventuelles activités malveillantes.

Quel est le rôle du NDR dans le centre des opérations de sécurité (SOC)?

le moderne SOC Il doit être omniprésent à la fois : compte tenu de l’étendue inhérente aux réseaux modernes, c’est un véritable défi. Par conséquent, le NDR joue un rôle majeur dans l’efficacité actuelle des réseaux. SOCs, car il s'agit d'une plateforme de détection centralisée. Les fonctionnalités suivantes peuvent être fournies à un SOC par un NDR approprié.

Visibilité complète du réseau

Un élément essentiel d'un SOC Sa capacité à détecter et à contrer les menaces sur l'ensemble des appareils, utilisateurs et services constitue son principal atout. Les données réseau représentent une source précieuse de renseignements, mais leur volume considérable ralentit souvent le travail des spécialistes du triage et des analystes de menaces. L'architecture NDR lui permet de collecter automatiquement les données de paquets, de flux et de journaux provenant de l'infrastructure réseau et des pare-feu. Elle analyse également le trafic chiffré, sans nécessiter d'interception. Ceci permet une analyse approfondie intégrant un plus large éventail de sources, offrant ainsi une solution plus performante. SOC une vision plus complète de leurs réseaux.

Alertes connectées

Les spécialistes du triage jouent un rôle essentiel dans le traitement des alertes de sécurité en collectant les données brutes et en analysant les alarmes entrantes. Leurs responsabilités incluent la validation des alertes, l'évaluation ou l'ajustement de leur gravité, et leur enrichissement avec des informations contextuelles. Les rapports de non-remise (NDR) modernes accélèrent ce processus en s'intégrant à d'autres outils de sécurité et en signalant automatiquement les anomalies réseau dans leur contexte plus large, des e-mails de phishing aux téléchargements de fichiers suspects.

Connaissance rapide du réseau

SOC Les gestionnaires sont conscients de l'importance d'une expertise approfondie des réseaux. Cette exigence peut rendre le recrutement et la formation nouveaux SOC Les membres de l'équipe sont difficiles et chronophages. Avec NDR en SOC, même les nouveaux membres de l'équipe qui manquent d'expertise en réseau peuvent déployer une solution NDR et commencer à identifier les menaces.

Réponse rapide du réseau

La puissance analytique de NDR est offerte aux analystes via un tableau de bord intuitif. Cette interface utilisateur permet de prioriser automatiquement les alertes et d'activer les capacités de réponse manuelle du réseau beaucoup plus tôt.

NDR vs Détection et réponse aux points finaux (EDR)

La cybersécurité moderne exige une visibilité qui ne se limite pas aux activités réseau. L'EDR est la solution correspondante, centrée sur le comportement des terminaux. La détection réseau/terminal est relativement simple : de la même manière que le NDR ingère chaque action sur un réseau et la place sur un graphique de tendance plus large, l'EDR analyse chaque action au niveau de l'appareil par rapport à son historique ou à son comportement spécifique.

Les produits EDR sont généralement déployés via un agent de point de terminaison déployable sur chaque terminal. Grâce à sa présence locale, EDR peut ingérer des informations sur les processus, ce qui permet d'identifier les programmes potentiellement malveillants en surveillant les processus en cours d'exécution sur le système. Les informations sur les fichiers sont également examinées pour valider leur intégrité, tandis que les informations sur les utilisateurs vérifient la légitimité de chaque compte. Enfin, les informations système sont collectées pour maintenir une vue d'ensemble de l'état des terminaux.

Plutôt que d'opposer NDR et EDR, la plupart des organisations déploient la NDR en parallèle de l'EDR, ce qui permet de suivre et de surveiller l'intégralité de la chaîne d'attaque. De la compromission initiale d'un compte à l'élévation de privilèges au niveau du réseau et au déploiement final de logiciels malveillants, l'intégralité des attaques complexes peut être détectée en amont. Conscients du potentiel de cette approche, certains fournisseurs de cybersécurité ont commencé à proposer une couche supplémentaire d'analyse et d'orchestration entre les deux : la détection et la réponse étendues (EDR).XDR).

Comment le NDR se compare-t-il à l'EDR et XDR?

NDR, EDR et XDR Ce sont des technologies subtilement distinctes, chacune ciblant différentes facettes des processus d'identification et de réponse aux menaces. Leur portée diffère également : elle peut aller d'une protection spécifique au réseau à l'ensemble de la surface d'attaque de l'organisation.

NDR (Détection et réponse du réseau)

EDR (détection et réponse des points de terminaison)

XDR (Détection et réponse étendues)
Domaine Trafic réseau. Points de terminaison (ordinateurs portables, serveurs, appareils). Tous (points de terminaison, réseau, cloud).
Sources de données primaires Métadonnées réseau, flux de trafic. Télémétrie des points de terminaison, comportement des fichiers et des processus. Télémétrie agrégée sur plusieurs domaines.
Capacités de réponse Limité aux actions au niveau du réseau, offrant de plus en plus de réponses automatisées. Isolé aux réponses spécifiques au point final, telles que la mise en quarantaine. Offre une liberté totale de réponse automatisée multiplateforme.
Complexité du déploiement Moyen (nécessite une intégration réseau). Moyen (nécessite l’installation d’un agent sur les points de terminaison). Élevé (nécessite une intégration sur toutes les plateformes de sécurité ou sources de données principales).
Meilleur cas d'utilisation Détection de mouvements latéraux, menaces furtives. Identification des points de terminaison compromis. Détection et réponse complètes aux menaces.

Techniques utilisées dans les solutions NDR

Étant donné que les NDR traitent et analysent en permanence de grandes quantités de données, il est important de comprendre les différentes stratégies qu'ils emploient contre les menaces complexes.

Analyse du trafic crypté

La sécurisation du trafic chiffré a toujours été un sujet délicat : la grande majorité du trafic actuel étant chiffrée, l'incapacité à analyser correctement ce trafic peut constituer une grave erreur. Cependant, déchiffrer tous les paquets réseau en cours de transfert peut considérablement augmenter le risque d'exposition des données et des jetons.

Pour contourner ce problème, les outils leaders du marché s'appuient souvent sur une série de techniques NDR. Pour éviter les fuites de jetons ou de données déchiffrées, des capteurs peuvent être déployés derrière des serveurs proxy. Ce système utilise la détection du trafic chiffré et l'achemine via un proxy : le trafic est déchiffré normalement, puis les capteurs transmettent toutes les informations au moteur NDR central. Apprenez-en davantage sur nos capacités NDR ici.

Si les serveurs proxy ne sont pas adaptés à un cas d'utilisation spécifique, il est possible de détecter avec précision la légitimité d'un trafic grâce à ses modèles. Le trafic entièrement chiffré peut être analysé pour détecter la présence de logiciels malveillants grâce à l'empreinte JA3, sans casser son chiffrement. De plus, les modèles et les métadonnées peuvent être combinés pour détecter l'intention derrière un paquet chiffré, car le capteur peut toujours extraire le certificat du serveur, les adresses IP, les noms de domaine, la durée de la session et le nombre d'octets de l'en-tête du paquet et du protocole TLS/SSL.

Enfin, si le déchiffrement du trafic est indispensable, les NDR modernes peuvent s'intégrer aux services de déchiffrement de paquets. Les données réseau obtenues sont ensuite transmises au moteur d'analyse central comme d'habitude.

Découverte automatisée des actifs

Il est essentiel de savoir quels appareils transfèrent des données vers et depuis un réseau. Les rapports NDR suivent et ajoutent automatiquement les actifs au tableau de bord de gestion des actifs, en fonction de leur adresse MAC, de leur adresse IP et de leur nom d'hôte. Cela permet ensuite d'afficher les risques au niveau du réseau en fonction des actifs impactés.

Décodage de protocole

Les protocoles réseau sont des ensembles de règles établies qui définissent le formatage, la transmission, la réception et l'interprétation des données entre les appareils d'un réseau. Ce sont des éléments essentiels du puzzle contextuel ; à ce titre, les NDR reconstruisent essentiellement les données brutes dont ils disposent pour déterminer le protocole approprié. Ils comparent ensuite les données réseau réelles à ce protocole attendu, permettant ainsi une détection rapide de tout écart de trafic.

Analyse comportementale

Outre les protocoles sous-jacents à chaque flux de trafic, les NDR permettent de modéliser le fonctionnement quotidien de chaque réseau. Par exemple, sur plusieurs mois, un employé peut télécharger des données sur un site spécifique via SFTP à 10 h. Lorsque cet employé télécharge soudainement un fichier sur cinq autres appareils internes à 5 h du matin, le système sait qu'il doit signaler cette action suspecte pour une analyse plus approfondie.

Comment déployer la détection et la réponse réseau

Le déploiement d'un NDR doit couvrir tous les réseaux de votre organisation, qu'ils soient cloud, entièrement sur site ou une combinaison des deux. Les méthodes de déploiement suivantes vous donneront un aperçu détaillé du déploiement technique des NDR au sein d'une organisation.

Déploiement du capteur

Le NDR nécessite le déploiement de capteurs sur tout réseau surveillé. Il existe cependant des capteurs spécifiques pour différents cas d'utilisation, et un déploiement réussi exige un capteur adapté. Par exemple, les environnements de distribution Linux nécessitent un capteur pour serveur Linux. Ceux-ci sont souvent déployés avec une quantité prédéfinie de ressources CPU disponibles, utilisables simultanément, afin de préserver la qualité du serveur tout en collectant les exécutions de commandes et les journaux. Les serveurs Windows nécessitent également leur propre type de capteur ; ceux-ci collectent l'intégralité des données Windows. types d'événements.

Les capteurs modulaires constituent un autre type de capteur : ils permettent d’intégrer des fonctionnalités personnalisables. Par exemple, le transfert des journaux peut être nécessaire en cas de déploiement avec un SIEM ou tout autre outil de sécurité – et l'ingestion du trafic réseau – conformément aux exigences du NDR. Pour des exigences de sécurité plus strictes, des capteurs modulaires peuvent également être déployés avec des systèmes de sandbox et de détection d'intrusion.

Une fois les capteurs appropriés identifiés pour chaque déploiement, il est important de les configurer en conséquence. De nombreuses méthodes de déploiement sont disponibles : le port SPAN est l'une des plus courantes et fonctionne en dupliquant le trafic réseau d'un commutateur vers le port doté du capteur NDR. Cela permet à l'outil NDR de capturer passivement tout le trafic entrant sur ce port.

Les environnements virtuels reposent sur le déploiement de TAP virtuels, qui capturent des copies des données circulant entre les machines virtuelles au sein de l'hôte. Les TAP physiques ignorent ce trafic, car il ne transite jamais par les câbles réseau physiques. L'activité réseau des terminaux distants peut être surveillée grâce à des collecteurs basés sur des agents, des collecteurs légers qui s'installent directement sur un appareil.

Ingestion de données

Toutes les données étant surveillées en permanence par des capteurs, elles doivent ensuite être ingérées et analysées par le moteur d'analyse central du NDR. Cette opération est réalisée par deux processus : les récepteurs et les connecteurs. Le premier est une tâche en cours d'exécution qui collecte les données des capteurs et les diffuse entre les adresses IP ou les numéros de port contactés, tandis que le second analyse les données brutes des paquets réseau associés.

Téléchargement et configuration

Le téléchargement et la configuration de la console de gestion NDR dépendent du fournisseur choisi, mais tous nécessitent la définition initiale des rôles d'administrateur, des seuils d'alerte et des protocoles de notification. Une formation d'une à deux semaines est généralement requise au minimum lors du premier déploiement d'un nouvel outil ; cela permet de mieux comprendre son intégration aux workflows des analystes.

Activer et ajuster les réponses automatisées

Les réponses automatisées sont une fonctionnalité clé des outils NDR modernes : elles permettent également un gain de temps considérable face aux attaques potentielles. Selon le NDR, ses actions de réponse automatisées, telles que la fin de session TCP, la segmentation dynamique du réseau ou la limitation du trafic, doivent être configurées, ainsi que le profil comportemental qui doit déclencher chaque action. Apprenez-en davantage sur la façon de déployer un NDR ici.

Intégration de NDR avec d'autres outils de sécurité

La capacité de NDR à construire des modèles heuristiques du comportement normal du réseau – et donc à détecter tout écart – complète considérablement les renseignements fournis par d'autres technologies de sécurité. Leur intégration permet d'intégrer une connaissance du réseau à chaque alerte. Les outils de sécurité suivants sont ceux dont l'intégration avec NDR est courante et réussie.

EDR

En intégrant l'EDR au NDR, il est possible non seulement de comprendre parfaitement la chaîne d'attaque, mais aussi de réagir automatiquement aux menaces via le dispositif EDR. Par exemple, lorsqu'un logiciel malveillant est lié à un appareil, une solution EDR/NDR conjointe peut l'isoler automatiquement du réseau. Ce confinement empêche la propagation de la menace, tout en permettant aux équipes de sécurité d'enquêter sur l'incident et de mettre en œuvre les mesures correctives nécessaires.

SIEM

SIEMLes journaux d'événements sont omniprésents dans les équipes de sécurité : ils permettent l'analyse et la détection des menaces et sont les ancêtres de la gestion moderne des menaces. Cependant, parce que SIEMNous gérons tellement de journaux – et les journaux seuls ne permettent pas d'obtenir une visibilité approfondie sur les menaces – SIEMCes systèmes sont très sujets aux faux positifs. Il en résulte des milliers d'alertes par jour, qu'il est pratiquement impossible d'examiner manuellement.

Les NDR permettent d'établir une couche d'authentification – chaque fois que SIEM Lorsqu'un incident potentiel est détecté, les données réseau correspondantes peuvent être analysées. Si les deux sources de données convergent vers une attaque, l'alerte est diffusée via le tableau de bord central du NDR. Cela permet non seulement de filtrer les alertes erronées, mais aussi de fournir à l'analyste une base de travail plus solide.

Les pare-feu

Le NDR améliore la veille des menaces du pare-feu en détectant les comportements réseau inhabituels ou malveillants. Puisqu'il relie le comportement à une adresse IP spécifique, ces informations en temps réel peuvent être transmises au pare-feu déployé sur chaque réseau ou sous-réseau. Ce dernier élabore et applique ensuite automatiquement une politique adaptée, bloquant le trafic suspect.

Cela semble trop beau pour
Sois sincère?
Voyez-le vous-même !

Demandez une démonstration
Remonter en haut
Inscrivez-vous aux newsletters