Détection et réponse aux menaces multi-cloud avec Sophos XDR

ProduitsCloud OptixPublic CloudSophos XDR

Sophos Extended Detection and Response (XDR) va encore plus loin pour vos clients du cloud public, en ajoutant les journaux d’activité de Microsoft Azure (Azure) et de Google Cloud Platform (GCP) à Amazon Web Services (AWS), aidant ainsi vos équipes de sécurité à avoir une vue d’ensemble sur les environnements de cloud public.

27 Déc 2021 Par

En intégrant les données de Cloud Optix, la solution Sophos de gestion de sécurité dans le Cloud, Sophos XDR vous permet, en tant que partenaire Sophos, de détecter, d’évaluer et de renforcer les charges de travail dans le Cloud et l’accès des utilisateurs pour lutter contre les erreurs de configuration et les vulnérabilités de sécurité.

Les nouvelles sources de données Cloud Optix dans Sophos XDR vous permettent désormais d’investiguer facilement les activités de l’API, l’interface de ligne de commande et la console de gestion pour les environnements cloud AWS, Azure et GCP. En utilisant des requêtes SQL entièrement personnalisables et préalablement définies, vous pouvez identifier les tentatives d’accès initiales à l’environnement via des rôles compromis, ainsi que les rôles d’utilisateur et les ressources nouvellement créés indiquant la persistance dans l’environnement, et les tactiques d’escalade et d’exfiltration des privilèges provenant des attaquants.

En prenant les résultats de Cloud Optix comme indicateurs de compromission, nous vous aidons à mieux réagir en utilisant le lac de données Sophos XDR pour investiguer les vulnérabilités des charges de travail à l’aide des agents de protection Sophos Intercept X for Server fonctionnant sur ces charges de travail. Les exemples incluent la détection de ressources de charge de calcul avec des ports tels que RDP ou SSH exposés à Internet. Dans ce scénario, Cloud Optix vous alerte sur ces vulnérabilités d’accès et Sophos XDR vous permet d’orienter rapidement les investigations pour identifier le nombre de tentatives d’authentification sur ces instances, ainsi que toute tentative réussie. Vous pouvez alors agir en toute confiance pour supprimer l’accès et empêcher une violation, Cloud Optix fournissant des instructions de remédiation guidées pour réduire votre temps moyen de résolution (MTTR) des vulnérabilités.

Cette vision connectée de la sécurité multi-cloud depuis une console centrale permet de différencier votre pratique de la sécurité du cloud. Elle aide les équipes de sécurité à avoir une vue d’ensemble pendant les investigations – facilitant ainsi l’identification rapide des risques et la prévention proactive des incidents de sécurité.

 

Autres améliorations de Cloud Optix

Cette dernière mise à jour de Sophos Cloud Optix comprend également une série d’ajouts pour améliorer la surveillance de la sécurité du cloud et la réponse de conformité pour vos clients :

Anomalies dans les activités AWS – Les nouveaux modèles SophosAI analysent en permanence les journaux d’activité des utilisateurs AWS CloudTrail. Cela permet à Cloud Optix d’élaborer une vision globale de l’activité des rôles individuels des utilisateurs pour identifier les changements accidentels ainsi que les activités malveillantes des rôles compromis. Les événements AWS CloudTrail permettent d’avoir une vue chronologique claire et détaillée des activités des utilisateurs, en identifiant les anomalies à haut risque telles que les actions effectuées en dehors des heures de travail habituelles et celles n’ayant jamais été effectuées auparavant.

Grâce à cette mise à jour, vous pouvez réduire considérablement le nombre d’alertes pour les équipes de sécurité. Vous les aidez à se focaliser sur l’investigation des modèles de comportement à haut risque pouvant aboutir à un incident de sécurité, et ce, en une fraction du temps auparavant nécessaire.

Instances multiples d’intégration Jira – Ajoutez désormais plusieurs instances d’intégration Jira à un compte Cloud Optix. Chaque environnement cloud sera lié à une instance Jira. Il peut s’agir d’une instance Jira distincte par environnement ou d’une instance Jira commune partagée par plusieurs environnements.

Visualisation de l’IAM Azure – Visualisez les relations entre les rôles IAM, les utilisateurs IAM et les services dans Azure pour simplifier la gestion des rôles IAM complexes et imbriqués pour plusieurs abonnements Azure et Azure AD.

Alertes de politiques personnalisées – Créez maintenant des alertes personnalisées basées sur les requêtes de recherche avancée de Cloud Optix. Les analyses des références de sécurité futures déclencheront des alertes dans Cloud Optix lorsque les critères de la requête seront satisfaits.

Ces dernières mises à jour ainsi qu’un récapitulatif de toutes les améliorations de Cloud Optix sont disponibles ici. Pour en savoir plus sur le Sophos Cloud Security Provider Partner Program et ajouter Cloud Optix à votre portefeuille en tant que partenaire Sophos, visitez www.sophos.com/csp, ou consultez la rubrique CSP sur le portail Partenaires Sophos.

À propos de l’auteur

Responsible for Product Marketing of all Email gateway solutions, Rich got his break building marketing strategies for tech startups and VARs within the IT and telecoms industry, and most recently spent 7 years in the IaaS industry, leading Product strategy and Product Marketing for a premium brand within Europe’s largest hosting provider group.