Accueil Ressources Automatiser les levées de doute et tri des alertes avec le connecteur GLIMPS et Sentinel One

23 Mars 2023

Automatiser les levées de doute et tri des alertes avec le connecteur GLIMPS et Sentinel One

Articles

Le connecteur GLIMPS x Sentinel One

Les cyberattaques ne cessent d’évoluer, devenant plus ciblées et plus sophistiquées. Aujourd’hui, les cybercriminels opèrent comme de véritables entreprises, avec des chaînes d’attaque organisées et des outils toujours plus perfectionnés. Leur objectif : contourner les défenses existantes, infiltrer les systèmes, et exploiter les failles inconnues en interne.

Dans ce contexte, les EDR, bien que puissants, sont parfois mis à rude épreuve face à ces menaces. Les signaux faibles, les faux positifs ou les alertes sans qualification précise compliquent le travail des analystes, déjà surchargés par des volumes massifs d’incidents à traiter.

Pour faire face à ces défis, l’automatisation et l’ajout de couches d’analyse avancée avec GLIMPS Malware deviennent des alliés indispensables. En combinant détection pertinente et contextualisation fine, il est possible non seulement de gagner en efficacité, mais aussi de transformer la manière dont les incidents sont priorisés et traités.

Quelle valeur ajoutée ?

Le connecteur Sentinel One x GLIMPS Malware permet d’automatiser la qualification des résultats de Sentinel et d’offrir une analyse détaillée des menaces :

• Réduction du nombre de faux-positifs
• Accélération de la remédiation avec des informations claires et précises sur la menace
• Caractérisation rapide des menaces
• Détection des APTs et des Variants (grâce à l’investigation profonde du moteur Deep Engine de GLIMPS Malware)

L’analyse par concept-code proposée par GLIMPS Malware apporte de nombreux atouts à la détection traditionnelle d’un EDR. Gain de temps et précision dans l’analyse, aide à la décision pour l’analyste. Cette complémentarité technologique s’adapte à tout type d’environnement serveurs et postes de travail.

Comment cela fonctionne ?

GLIMPS Malware reçoit les nouvelles alertes générées par l’EDR SentinelOne, en extrait les fichiers et les envoie automatiquement à la plateforme pour une analyse approfondie. Cette dernière combine plus d’une vingtaine de modules, offrant des capacités de détection avancées grâce à des méthodes statiques et/ou dynamiques, selon le choix du client.
Après cette analyse, GLIMPS Malware transmet les résultats directement dans la console de l’EDR sous forme de rapport détaillé.
• Le rapport d’analyse inclut :

Un score global cumulé : chaque moteur de détection attribue jusqu’à 1 000 points lorsqu’une charge malveillante est identifiée
La famille de malware détectée, offrant un contexte clair et exploitable.

En complément, GLIMPS Malware peut désormais modifier automatiquement le champ « Analyst Verdict » des alertes dans SentinelOne, en ajustant les résultats à True Positive ou False Negative, selon le verdict consolidé de l’analyse. Cette fonctionnalité réduit considérablement le besoin d’intervention manuelle, améliore la précision des alertes et optimise la gestion des incidents par les équipes SOC/CERT.

Tous les résultats d’analyse sont conservés et disponibles sur l’interface EXPERT de GLIMPS Malware. Le fichier peut donc être de nouveau analysé si l’analyste souhaite ajouter de nouvelles options.

N’hésitez pas à nous contacter pour en savoir plus sur comment automatiser votre levée de doute et tri des alertes