Le tableau suivant fournit la terminologie clé utilisée dans le service NSX+ NDR.

Terme/Concept clé Définition
Campagne

Une campagne fait référence à une série d'événements liés à la sécurité dans le réseau surveillé qui sont détectés et reliés par le service NSX+ NDR. Ces événements de sécurité peuvent inclure des correspondances de signature IDS.

NSX+ NDR utilise l'apprentissage automatique et les analyses avancées pour identifier les menaces de sécurité et générer automatiquement des campagnes qui fournissent aux équipes de sécurité une vue complète des menaces. Un score d'impact est attribué à chaque campagne en fonction du risque présenté par les événements de sécurité qui constituent la campagne.

Lorsqu'une campagne est détectée, NSX+ NDR fournit des informations détaillées sur les événements de détection qui composent la campagne, y compris la charge de travail impliquée, la nature des activités et l'incidence potentielle sur le réseau. Ces informations vous permettent de rechercher rapidement les menaces de sécurité et d'y répondre, ce qui vous permet d'éviter les violations de données et d'autres incidents de sécurité.

Score d'impact de campagne

La mesure Score d'impact de campagne est une mesure qui peut vous aider à évaluer rapidement l'urgence d'une menace potentielle pour la sécurité et à hiérarchiser le triage et la résolution en conséquence. En ciblant les campagnes avec des scores d'impact plus élevés, vous pouvez rapidement résoudre les menaces les plus critiques et réduire le risque d'incidents de sécurité.

Le score d'impact de campagne est calculé à partir de l'ensemble des événements de détection qui se trouvent dans la campagne à l'aide d'une combinaison de facteurs, tels que la confiance, la gravité et l'incidence de l'événement.

Le score est présenté sur une échelle de 0 à 100, les scores plus élevés indiquant une incidence potentielle plus importante. Un score de 0 indique que la campagne n'a aucune incidence, tandis qu'un score de 100 indique que la campagne présente une menace immédiate et grave.

Pour plus de détails, reportez-vous à Campagnes dans NSX+ NDR.

Destination Une destination fait référence à la destination du flux, qui est plus communément appelée server.
Événement de détection ou de détection

Les détections ou événements de détection représentent l'activité pertinente pour la sécurité qui s'est produite dans le réseau et qui a été détectée par NSX+ NDR. Lorsqu'un nouvel événement de données de détection est reçu à partir des sites, ces données sont agrégées à un événement déjà reçu afin de déterminer s'il fait référence à la même détection des menaces. Sinon, un nouvel événement de détection est créé.

Chaque détection se voit attribuer une classification basée sur l'infrastructure MITRE ATT&CK, une menace et un score d'impact.

Un événement de détection peut être corrélé dans une campagne s'il est considéré comme lié aux détections de la campagne. L'événement ne sera pas inclus dans une campagne si des événements ne sont pas considérés comme liés à l'événement actuel.

Score d'impact de détection

Le score d'impact de détection est une mesure qui combine la gravité ou le « niveau de malveillance » de la menace et de la confiance dans la précision de la détection.

Le score d'impact de détection est calculé en combinant la gravité et la confiance.

Un score est compris entre 0 et 100, 100 constituant la détection la plus dangereuse.

Pour plus de détails, reportez-vous à Détections dans NSX+ NDR.

MITRE ATT&CK®

S'appuyant sur des observations du monde réel, MITRE ATT&CK est une base de connaissances accessible dans le monde entier sur les tactiques et techniques d'adversaires. La base de connaissances ATT&CK sert de base au développement de modèles et de méthodologies spécifiques liés aux menaces dans le secteur privé, le secteur public et la communauté des produits et services de cybersécurité.

NSX+ NDR utilise l'infrastructure MITRE ATT&CK, car les événements de détection sont mappés aux tactiques et techniques MITRE ATT&CK.

Pour plus d'informations sur la base de connaissances MITRE ATT&CK, reportez-vous au site officiel.

Tactiques MITRE ATT&CK Les tactiques représentent le « pourquoi » d'une technique ou sous-technique ATT&CK. C'est l'objectif tactique de l'adversaire : la raison le poussant à accomplir une action. Par exemple, un adversaire peut vouloir obtenir l'accès aux informations d'identification. Les événements dans NSX+ NDR sont mappés aux tactiques MITRE ATT&CK pour aider à comprendre l'intention de l'activité détectée.

Outre les tactiques MITRE ATT&CK, le système NSX+ NDR utilise les deux catégories de tactiques personnalisées suivantes :

  • Vulnérabilité : associée à la détection de vulnérabilités potentielles ou de problèmes de position de sécurité dans un réseau, y compris les violations de stratégie. De par sa conception, l'infrastructure MITRE ATT&CK ne couvre pas ce cas, car elle est axée sur les attaques et non sur les vulnérabilités.
  • Indéterminée : associée aux détections pour lesquelles le système NSX+ NDR n'a pas pu déterminer une tactique MITRE ATT&CK.

Pour plus d'informations sur les tactiques MITRE ATT&CK, reportez-vous à la page https://attack.mitre.org/tactics/enterprise/.

Technique MITRE ATT&CK Les techniques représentent le « comment », c'est-à-dire la façon dont les attaquants effectuent une tactique dans la pratique.

Pour plus d'informations sur les tactiques MITRE ATT&CK, reportez-vous à la page https://attack.mitre.org/techniques/enterprise/.

SIEM Un système de gestion des événements et des informations de sécurité (SIEM, Security Information and Event Management) est un produit ou service de sécurité qui collecte, gère et analyse des données liées à la sécurité et aux événements. Un SIEM surveille et analyse la sécurité en temps réel.
Signature

Une signature est une expression de correspondance de modèle qui est comparée au trafic dans le but de détecter une activité potentiellement malveillante, telle que les tentatives d'exploitation, le trafic de commande et contrôle, le déplacement latéral et l'exfiltration.

Source Une source fait référence à la source du flux réseau, qui est plus communément appelée client.
Menace Une menace, en général, fait référence à toute activité ou tout comportement suspect pouvant indiquer une faille de sécurité ou une attaque sur le réseau.

Dans NSX+ NDR, une « menace » est attribuée à chaque événement de détection. Outre la classification MITRE, l'attribution d'une menace est une autre manière de classer les détections. L'utilisation de menace permet une catégorisation plus spécifique de l'événement malveillant détecté, tel qu'un nom de programme malveillant ou un ID CVE spécifique. Lorsque ces catégorisations spécifiques ne sont pas disponibles, la menace peut être une catégorisation plus générique.