5. Page 5 - 2019 – Confidentiel
Les attaques d’aujourd’hui nécessitent
une approche stratégique
• Construire différents périmètres
• Protéger les systèmes
• Méthodes basées sur les signatures
• Recherche périodique de menaces
connues
• Arrêt de systèmes
Approche tactique
Conformité, réaction
Attaques d’aujourd’hui
• Assumer un compromis constant
• Prioriser les actifs à haut risque
• Méthodes comportementales
• Surveillance continue de l’activité
• Collecter, préserver, retracer les
preuves
Approche stratégique
Intelligence, orchestration, automatisation
Malware non ciblés, spam,
activité DDoS
Avancées, persistantes, organisées,
motivées par la finance ou la politique
nécessite corrélation
Identifier les menaces inconnues nécessite de l’intelligence, de l’orchestration et de l’automatisation
Attaques d’hier
6. Page 6 - 2019 – Confidentiel
Que faut-il pour mener la chasse aux menaces?
7. Page 7 - 2019 – Confidentiel
Qui ? : Analyse de réseaux
Quand ? : Analyse de temporelle
Comment ? Analyse comportementale
Où : Analyse géospatiale
Gérer inconnu / invisible = 4 dimensions de renseignement « intelligence »
8. Page 8 - 2019 – Confidentiel
Architecture – Principe de la solution
Investigation des comportements humains et mise en évidences des relations cachées
Utilisation de l’ensemble
des informations cyber
disponibles Utilisation des requêtes, look-up,
tables de concordances existantes
Détection des offenses
I2 connect
I2 Entreprise Insigth Analysis (EIA)
Investigation des fuites de données
Mise en évidence des relations cachées entre personnes
Contextualisation possibles avec données réseaux sociaux
Comparaison avec des cas déjà connus et alerte en cas de récidive
Mise en œuvre du scénario
de remédiation d’incident
12. 12
Orchestration ecosystem
• Validated integrations, delivered and
supported via IBM Security AppExchange
• Community integrations, playbooks, and best
practices
• Developer community and toolkits for
integrations and automations
Orchestration and automation
• Guided response
• Dynamic Playbooks
• Customizable business logic
• Drag-and-drop visual workflow editor
Best practices and IR expertise
• Privacy and compliance regulations
• Data breach notification reporting
• Customizable industry-standard playbooks (NIST,
CERT, SANS)
Threat intelligence and incident enrichment
• Custom threat intelligence feeds
• Visualization of incident and artifact
relationships
• Automated enrichment from
integrated SIEM,EDR, and others
Collaboration
• Email collaboration
• Task allocation and accountability
• News feed and activity dashboard
Incident escalation, creation, and
management
• Incident ingestion and escalation
• Customizable incident management
• Central incident system of record
Team management
• Metrics and KPIs
• Analytics dashboard and reporting
• Simulations
• Workspaces
• Role-based access control
ORCHESTRATION &
AUTOMATION
AI & HUMAN
INTELLIGENCE
CASE
MANAGEMENT
Intelligent Orchestration — Drive response. Improve security.
INTELLIGENT
ORCHESTRATION
INTELLIGENT
ORCHESTRATION
13. Case Management
• Incident escalation, creation, and management
• Collaboration and team management
• Reporting and analytics
Orchestration & Automation
• Dynamic Playbooks
• Scripting, rules engine, and drag-and-drop visual workflow editor
• Ecosystem of integrations, playbooks, best practices, and
developer toolkits
• Automated incident enrichment
AI & Human Intelligence
• AI-augmented incident response and threat intelligence
• Integrated threat intelligence
• Best practices, IR expertise, and privacy rules engine
13
ORCHESTRATION &
AUTOMATION
AI & HUMAN
INTELLIGENCE
CASE
MANAGEMENT
Intelligent Orchestration — Drive response. Improve security.
INTELLIGENT
ORCHESTRATION