GLIMPS s’intègre avec SentinelOne pour une cybersécurité renforcée

Face à l’évolution des cyberattaques, les entreprises de cybersécurité, fournisseurs de services managés (MSSP), sont confrontés à des défis majeurs : un volume d’alertes croissant, des outils parfois limités dans leur capacité à contextualiser les menaces et une fatigue des analystes SOC (Security Operations Centers), communément appelée alert fatigue.

Pour pouvoir traiter ces flux d’événements, ces derniers ont besoin de solutions automatisables qui identifient les menaces, mais qui fournissent également des informations détaillées pour accélérer et éclairer la prise de décision.

L’intégration EDR SentinelOne avec GLIMPS Malware répond précisément à cette problématique en apportant une simplification dans la qualification des menaces. Explication avec nos experts.

Les SOC, qu’ils soient internes aux entreprises ou gérés par des fournisseurs de services managés de cybersécurité, sont confrontés à des défis opérationnels majeurs dans un environnement où les cybermenaces se complexifient.

L’un des principaux problèmes est le volume élevé d’alertes générées quotidiennement par les agents EDR (Endpoint Detection and Response) tel que l’EDR SentinelOne. Selon Vectra, 81% des analystes SOC passent plus de 2 heures par jour à examiner et à trier les événements de sécurité. 50% de ces professionnels déclarent qu’ils ne sont capables de traiter que 38% des alertes qu’ils reçoivent de leurs outils de sécurité.

Face à des volumes pouvant atteindre des centaines d’alertes par agent et par jour, ces solutions, bien que performantes pour détecter des comportements suspects ou malveillants, manquent souvent de précision.

Comme l’explique Rodolphe Bitaud, Business Development Manager chez GLIMPS : « Il n’est pas rare de voir avec ces EDR, des cas de figure où un fichier est détecté comme malveillant ou suspect, mais pour lequel le spécialiste n’a aucune information complémentaire permettant de comprendre la typologie de la menace et donc le contexte. Par exemple : est-ce que ce fichier est proche dans sa conception d’une souche connue ? Quels sont les indicateurs que l’on a été capable d’extraire de la menace ? Quelles sont les techniques et tactiques utilisées par le fichier malveillant lorsqu’il est activé ? »

Ainsi, lorsqu’une alerte est remontée, elle indique qu’un fichier présente des caractéristiques anormales, mais sans toujours confirmer si la menace est réelle. Le résultat : un nombre important de faux positifs difficile à traiter par les experts.

Ces faux positifs obligent les ingénieurs, notamment ceux de niveau 1, à effectuer une levée de doute manuelle pour déterminer si une alerte nécessite une action ou à remonter l’alerte aux analystes de niveau 2 ou 3, entrainant une suite d’actions chronophage qui impose aux spécialistes de jongler entre des outils multiples pour collecter les informations manquantes.

Confrontés à un flux constant d’activités répétitives et parfois monotones, ces professionnels souffrent rapidement de ce qu’on appelle l’alert fatigue. L’alert fatigue désigne un phénomène de désensibilisation des analystes qui réduit la capacité de l’expert à réagir efficacement face à une alerte.

Ce phénomène, combiné à des outils limités dans leur contextualisation, souligne la nécessité d’une approche plus automatisée et enrichie pour libérer les analystes des tâches redondantes et à faible valeur ajoutée.

L’intégration entre SentinelOne et GLIMPS Malware vise à résoudre les limites des outils de détection en traitant de manière autonome la qualification des menaces et en enrichissant les alertes.

Lorsqu’un fichier suspect est détecté par l’EDR SentinelOne, celui-ci est automatiquement récupéré par GLIMPS Malware par un simple appel API pour un examen approfondi.

Une fois reçu par le moteur GLIMPS Malware, le fichier passe par un processus d’analyse statique avancée, appelé Deep File Inspection. Cette méthode consiste à étudier le fichier directement, sans avoir le besoin de l’exécuter dans un environnement dynamique tel qu’une sandbox et d’identifier :

• Le type exact de malware (ex. ransomware, loader ou cheval de Troie).
• Les tactiques et techniques utilisées, alignées avec le référentiel MITRE ATT&CK.
• Si l’alerte est un faux positif ou une véritable menace.

En fin de processus, les résultats enrichis sont renvoyés à l’EDR SentinelOne sous forme d’une note détaillée, offrant aux professionnels du SOC des informations claires et exploitables.

GLIMPS Malware permet également de modifier le comportement de l’EDR en corrigeant directement le champ Analyst Verdict dans le rapport d’incident de la console SentinelOne. Un fichier reconnu comme suspect par SentinelOne peut alors être requalifié par GLIMPS comme étant un “Vrai positif”. S’en suit alors une chaîne complète de remédiation sur le poste utilisateur concerné si l’EDR a été configuré pour répondre automatiquement sur ce type de verdict. Cette nouvelle intégration profite ainsi directement des capacités d’analyse avancée de GLIMPS Malware pour automatiser le processus de remédiation et réduire drastiquement le MTTR (Mean Time to Response).

Côté déploiement, l’intégration est rapide et sans friction, ne nécessitant que l’URL de l’instance SentinelOne et une clé API. Ce qui garantit une intégration sans impact sur les opérations courantes.

L’intégration entre les solutions SentinelOne et GLIMPS Malware apporte des bénéfices tangibles aux analystes SOC, en réduisant leur charge de travail tout en améliorant leur réactivité face aux menaces.

Réduction de la charge de travail

Cette intégration offre un gain de temps considérable en termes de qualification des menaces, comme le souligne Jordan Théodore, Ingénieur Produit chez GLIMPS : « On constate une réduction de 75 % des tâches liées à la qualification des menaces grâce à cette automatisation. Le tri des alertes s’en trouve nettement amélioré, les spécialistes de la détection peuvent se focaliser pleinement sur les incidents les plus critiques. »
En rendant ces tâches automatiques, les analystes SOC de niveau 1 sont libérés des opérations répétitives et peuvent se concentrer sur des incidents plus complexes et à forte valeur ajoutée.

Cette réponse autonome améliore également la réactivité du SOC en réduisant le temps moyen de détection (MTTD), ce qui ouvre la voie à une identification plus rapide des menaces et une limitation de leur persistance dans le système. De plus, le traitement accéléré et plus précis des alertes contribue à une réduction du temps moyen de réponse (MTTR), en facilitant la prise de décision et l’application rapide des mesures correctives.

Une meilleure défense contre les menaces avancées

Un autre avantage de cette intégration réside dans sa capacité à contrer les cyberattaques avancées, notamment celles impliquant des loaders conçus pour contourner les EDR. Difficiles à détecter, ces menaces exploitent des techniques telles que l’obfuscation de l’IAT (Import Address Table) et l’évasion dynamique, un mode opératoire où le malware masque son comportement réel pour échapper à la détection de la sandbox.

Grâce à son analyse statique avancée, GLIMPS Malware est capable d’identifier ces fichiers dissimulés ou encodés et de détecter des comportements malveillants que les approches traditionnelles ne parviennent pas à repérer.

Enfin, GLIMPS Malware automatise des tâches de rétro-ingénierie, telles que le traitement des binaires et l’extraction des comportements, allégeant ainsi la charge des experts SOC de niveau 3. Cette fonctionnalité accélère les investigations complexes, améliore la précision des résultats et renforce la capacité des équipes à répondre aux menaces sophistiquées.

L’intégration de l’EDR SentinelOne et GLIMPS Malware améliore la performance des équipes SOC en allégeant la charge des analystes, en accélérant la réponse aux menaces et en renforçant la précision des détections.

Pour plus d’informations, nos experts sont à votre disposition pour vous accompagner dans l’intégration de cette solution et répondre à vos besoins en cybersécurité.