donc encore une fois bonjour à tous merci d'avoir rejoint ce web ex kaspersky sur sur la notion de x dr donc pendant cette petite demi heure on va couvrir en fait un large spectre de mesures défensives des mesures défensives qui sont essentiels à la protection complète d'un parc informatique on va parler très rapidement de pépé donc de ne pas pointer une plateforme on va parler de dr dan boyle detection and response on va parler également de ntm network trafic analysis et on en arrivera comme ça doucement vers l'x dr donc extended detection and response si au cours de ce webinar vous avez des questions n'hésitez pas à les poser dans le tchat on reviendra dessus à la fin on s'accordera quelques quelques minutes à la fin du webinaire pour pour répondre à l'ensemble de vos de vos questions alors pourquoi parler de pépé dans un webinar qui est avant tout dédiée à l'x dr alors simplement parce que bien souvent il ya un amalgame qui est fait entre la partie protection d'un côté et la partie notamment eu des airs de l'autre de nombreux clients cherchent de le dr pour protéger leurs parcs en occultant bien souvent la partie le pp qui à notre sens est une partie essentielle par ailleurs les fournisseurs de dr inclus manière quasi systématique des fonctions de pépé à leurs solutions 1 edr alors pourquoi parce que le pp ça permet un blocage rapide des menaces susceptibles d'être détectés de manière purement algorithmique donc de manière complètement automatisée et ça participe énormément à la réduction du nombre d'incidents qui ces incidents vont nécessiter eu une analyse plus experts donc une analyse vraiment purement dédiés à la partie edr donc en somme si la détection et la réponse sur les différents noeuds du réseau est aujourd'hui devenu incontournable dans l'arsenal de protection là dessus tout le monde s'accorde à dire que le dr c'est une solution obligatoire il s'agit pas pour autant de remplacer des dispositifs de protection locaux donc des simples le pp avec cette notion de dr mais d'apporter en fait ce complément de visibilité qui va être utile à l'analyse par des ingénieurs de sécurité ou par des centres de sécurité opérationnelle des soc pour aider à la prise en compte de mesures défensives plus rapide et pour lutter contre des menaces qui sont plus sournoise et plus ingénieuses donc on va laisser le gros des menaces détectées par les technologies e pepe classique on va laisser 7 pp réduire le nombre d'incidents et on va se focaliser sur des menaces bien plus ingénieuses qui sont là pour contourner d'éventuelles protection et qui sont là pour rester sur du long terme pour faire de l'extraction d'informations par exemple alors intéressant dans un petit peu à le dr dans le cadre d'une étude alors allez plus très récente elle date de 2019 cette étude c'est une méthode c'est une étude par don à haïti security risk qui a été fait environ auprès d'environ 3000 entreprises kaspersky a découvert qu'en fait plus d'un quart des entreprises doté d'une solution edr et est capable de détecter une cyberattaque en seulement quelques heures et parfois même case immédiatement lorsqu'on pose la question à l'ensemble des entreprises sans forcément s'intéresser à leurs solutions de sécurité on s'aperçoit que seulement 19 % d'entre elles sont capables d'obtenir les mêmes résultats donc le dr améliore la rapidité de détection d'une attaque en entreprise mais à une condition cette condition c'est d'avoir des équipes de sécurité dédiée à la gestion de cette guerre est en fait c'est ce dernier point qui est important toutes les entreprises ont-elles des équipes dédiées capable de prendre en charge un outil edr pour effectuer une analyse approfondie des menaces complexes et dans l'accueil et dans le cadre pardon delà de la chasse aux menaces donc force est de constater que malheureusement non et pour répondre à ces menaces et à ses enjeux on nous avons adapté nous avons adopté une solution plus adaptée de sécurité une solution adaptative de sécurité cette solution va permettre en fonction du niveau de maturité des équipes haïti d'offrir un niveau de détection et d'automatisation appropriés à leur environnement donc c'est notamment pour apporter une réponse complémentaire et donc une plus grande réactivité de détection et répondre aux cyberattaques pour ces entreprises qui sont dotés d'une expertise plus limité en cybersécurité on a lancé en juin 2020 une nouvelle solution qui s'appelle edr optimum on a donc aujourd'hui trois solutions de protection de détection et de réponse aux incidents donc trois solutions edr conçu pour satisfaire aux exigences des différentes catégories d'utilisateurs donc premier niveau ceux qui ont un département informatique qui s'occupe également de la sécurité et qui n'ont pas de spécialiste sur le terrain ou qui disposent d'un cruel manque d' expertise en matière de cybersécurité ceux qui ont un service informatique tout ou en partie dédié à la sécurité qu'ils soient en formation ou en développement qui commence a positionné des ingénieurs sécurité dans le réseau et enfin un dernier niveau qui va s'adresser à ceux qui ont un service dédiée composée d'experts composé de ce trade center composée d'analystes ou simplement qu'ils ont mis en place un soc internaliser ou externaliser pour 1 entreprises qui affichent donc un certain niveau de maturité dans le domaine de la cybersécurité nous avons kaspersky au dr experts c'est le framework ce qui est située à votre droite sur le sur l'écran ce framework ce dr expert va mettre à disposition donc de ses experts en sécurité informatique des fonctionnalités avancées pour découvrir des nouvelles menaces cette solution va également offrir des moyens d' enquête en profondeur notamment grâce à un module de ce raid intelligence qui est intégrée à l'outil et à l'utilisation du référentiel donc lemitre attaque pour ne pas le citer ce qui va permettre en fait à adhérer experts de faire de la chasse aux menaces et d'avoir bien entendu des outils de réponse dédié à ces attaques complexes qui peuvent agir à différents niveaux dans l'infrastructure la solution et des robes timone donc le framework ce optimum qui est située à votre gauche quant à elle va fournir aux entreprises qui sont dotées de ressources et d'expertisé un petit peu plus limitée plusieurs fonctionnalités de protection de base parmi lesquels on va retrouver une meilleure visibilité de l'ensemble des autres du réseau une analyse simplifiée des causes des incidents et bien entendu des options de réponses automatisées donc ces options réponses elles vont de l'isolation des machines à des capacités plus avancé de suppression processus de mise en quarantaine d'objets donc des choses un peu plus un peu plus poussées mais qui néanmoins ne nécessite pas une expertise tels que nous avons besoin de d'ingénieurs dédiée à la cybersécurité pour gérer ce framework donc ça c'était pour la partie edr en 2010 est donc ça remonte déjà à quelques à quelques années nous avons lancé en fait notre première solution de luttre contre les attaques a pété qu'espère skis en titane guettait d'attac donc une menaces persistantes avancées dont une à péter c'est une cyber attaque ciblée et surtout prolongé au cours duquel une personne non autorisée a à coeur un intrus on va accéder au réseau et va passer inaperçue pendant une période importante donc c'est vraiment ce qui distingue une app était d'une autre attaque c'est cette période dans lequel cet intrus va passer complètement inaperçue et et qu'il va pouvoir effectuer un certain nombre de méfaits sur le réseau sans pour autant être détecté alors bien entendu il faut un certain niveau d'effort pour effectuer une attaque de type a pété les menaces persistantes sophistiqué donc vont viser principalement et spécifiquement des cibles qu'on appelle dit décide de haute valeur donc ça va être principalement des états nations ou des très grandes entreprises le but ultime va être de voler des informations sur une longue période plutôt que de simplement plongé dans un système et le kit est assez rapidement toutefois attention ça veut pas dire que les pme sont à l'abri de ce type de ce type datacap été pourquoi j'ai plein de causes qui font que ces pme peuvent être sujettes à une attaque à péter mais il y en a une en particulier celle qui fait que les pirates qui lancent des apps et et vont utiliser de plus en plus les petites entreprises qui font partie de la chaîne logistique de leur cible ultime donc leur cible finale ils vont utiliser ces entreprises comme un tremplin ils savent que ces entreprises ont un système de défense qui est généralement moins performant ils savent que ces entreprises dialogue avec la cible qu'ils recherchent et donc ils vont se servir de ces entreprises pour rebondir dans leur cible finale donc c'est pas parce que on est une petite pme on doit se sentir forcément à l'abri des alpes était d'autant plus si on est à même de travailler avec des grands groupes voir avec des organismes d'état donc en 2017 nous avons lancé notre solution kaspersky identitaire gaieté d'attac c'est ce qu'on pourrait appeler en fait un lt rappelez-vous le slide du début je vous ai parlé de pépé je vous ai parlé de dr je vous ai parlé également de ntm donc la troisième rubrique le npa c'est le network trafic analysis alors center on l'appelle parfois ndr on aime bien les acronymes à trois lettres dans le milieu de la sécurité informatique le ndrc le network détéction un haut responsable allemand c'est la même chose que le nt1 le kaspersky en titre get et d'attaquants fête va fournir un aperçu détaillé au travers l'analyse du trafic réseau donc il va fournir un aperçu de ce qui se passe dans cette infrastructure informatique différentes sondes vont être positionnés et ses sondes vont capter le trafic web le trafic mail le trafic réseau l'ensemble des données de ces différents trafics va être collectées et il va être analysé au sein d'un centre d' analyse que l'on nous on appelle en interne le central note donc si je fais référence à un central mode au cours de ma présentation il s'agit en fait du centre d analyse c'est à dire le centre qui va disposer de l'ensemble de l'arsenal de technologie qui va permettre en fait de corréler qui va permettre d'analyser et s'il va surtout permettre de mettre en relief les menaces et les attaques ciblées les plus sophistiqués bien entendu le central l'aude c'est aussi la console d'administration et ce central note va disposer d'outils de réponse adaptée pour pallier aux différentes attaques et aux différentes menaces qui auront été détecté lors de la corrélation de l'ensemble du trafic raison on a donc d'un côté lentilles target et d'attac votre notre entr et nous avons de l'autre côté notre dr alors on va prendre le dr experts c'est à dire le dr qui permet d'avoir le plus haut niveau de doughty de corrélation et d' analyse et cet anti target et d'attac a un point commun avec notre dr experts c'est qu'ils partagent la même plateforme donc on peut disposer d'un seul outil d'une seule console pour gérer de manière centralisée l'intégralité du réseau la surveillance la visualisation les notifications le reporting et bien entendu le plus important la gestion des menaces et de la détection avancée donc la solution va se charger également évidemment du stockage centralisé des données brutes et des verdicts donc l'ensemble de la télémétrie et l'ensemble des verdicts des alertes qui ont été émises sont stockées dans une base de données centralisée et les éventuellement bien entendu possible de contrôler les accès à cette plateforme d'administration donc à ce fameux central nod et d'assigner des droits en fonction des rôles des intervenants donc on va pouvoir ainsi avoir des intervenants qui ont des droits différents donc un exemple simple que l'on pourrait mettre en place c'est au sein d'une équipe de sécurité choisir un ou deux ingénieurs qui seront responsables de toute la hiérarchie dans l'entreprise donc le du grand patron ou au aux employés on peut avoir différentes différents niveaux de confidentialité et donc on peut choisir un ou deux analystes est dédié ses analystes la à des gens qui ont des informations plus confidentielle et sur lequel on ne peut pas bien sûr partagé ses informations sur l'ensemble des collaborateurs donc on va pouvoir assigner des droits en fonction des rôles de ces différents intervenants tous vont se connecter à la même plateforme et bien entendu on va pouvoir assigner des tâches aux différents intervenants a signé une alerte à un tel incident ni une autre alerte quelqu'un d'autre pour que chacun puisse travailler en parallèle sur la console d'administration alors certains d'entre vous auront sans doute déjà compris où je veux en venir on a le dr qui apporte de la précision mais moins de couverture réseau ça c'est le rôle de le dr expert chez kaspersky on a le npa ou le ndr appelons le comme on veut qu'ils couvrent le réseau mais qui ne surveillent pas la partie endpoint ça c'est le rôle du kaspersky anti target et d'attac ces deux outils partage comme je lé deal plateforme qui permet de collecter l'ensemble des données de télémétrie de les normaliser de les corréler et de fer l'investigation et la réponse de manière commune on a en gros l'x drx dr en fait c'est même pas en hausse et on alix drx d'air supprime en fait cette frontière entre le périmètre de détection et va apporter l'automatisation qui va nous permettre d'accélérer des investigations et de détecter des attaques plus sophistiqués donc c'est l'utilisation conjointe de lentilles target et d'attac et de le dr experts qui forment la solution xdr avec la visibilité complète des différents noeuds du réseau poste serveurs mais également des différentes sondes qu'on a pu positionner pour analyser la partie web la partie mail la partie trafic réseau de manière générale donc tout ça est corrélé au tour de cette console d'administration ça c'est le dashboard principal de la console d'administration le but aujourd'hui n'est pas de rentrer en détail dans les fonctionnalités j'avais néanmoins envie de vous de vous montrer à quoi ça ça pouvait ressembler c'est une console web donc là on est positionné sur sur le dashboard dans lequel on retrouve un certain nombre d' alerte classés par par technologie par importance par vecteur de d'attac vous voit typiquement ici que j'ai énormément d'attac qui arrive au travers les emails en l'occurrence on a également les personnes qui sont le plus assujetti aux aux attaques que ce soit leurs machines que ce soit lors leur adresse mail donc cette visibilité elle doit être au plus près du danger potentiel donc c'est pour ça on n'a que l'on a le dr experts d'un côté donc la partie endpoint qui a cette capacité d'être un agent unique donc cet agent va permettre la prévention va permettre l'investigation et va permettre aussi de déployer l'ensemble des réponses donc assez cet agent qui prend en charge l'ensemble des outils qui sont propulsés au travers à la partie centrale de cet agent il a une particularité il est disponible en deux modèles il est disponible en tant que à jean léger pour venir compléter une solution un ep paie déjà existantes sur le parc du client qui ne serait pas une solution kaspersky comme je les dis en début de ma présentation c'est pas parce qu'on positionne en haut des airs que pour autant on doit supprimer le pp sur le sur le réseau et le choix du client sur cette solution le pp on revient encore à lui s'il a choisi une solution concurrente à kaspersky sur les sur les postes de son réseau on peut fournir notre agence des aires en tant qu'agent léger qui sera compatible avec cette solution bien entendu si le client a choisi la solution kaspersky en tant que pépé notre solution edr s'intègre complètement dans cet agent le pp ce qui nécessite pas d'avoir des déploiements multiples sur le réseau cet agent de prévention permet également de vérifier les indicateurs de compromission il permet de vérifier les indicateurs d'attac donc une différence entre l'oeil aussi et l'agoa et il permet également de corréler les détections du kaspersky endpoint security c'est un point important lorsque vous avez un analyste qui travaille sur la partie edr donc sur sur notre console centralisée il a besoin de savoir lorsqu'une alerte et générer site où poussent ils partie de cette alerte a déjà été prise en charge par la solution de protection kaspersky qui est installé sur le poste de travail si c'est le cas il peut passer à autre chose il est pas obligé de s'attarder sur cette alerte là si le pp a déjà fait son boulot qu'il a détecté cette attaque qu'il a supprimé la menace y a pas besoin d'aller plus loin en termes de recherche et ses indicateurs et ces détections de kaspersky endpoint security sont disponibles dans notre console centralisée et bien entendu donc cet agent unique va prendre en charge la partie réponse avec plusieurs options qui vont de l'isolation de la machine à la récupération de processus tuer des processus en mémoire mettre des processus en quarantaine supprimer des clés de registre enfin le panel d'outils qu'on peut attendre d'un outil de de réponse est ainsi dans la partie réseau donc la partie kata va apporter cette visibilité réseau en ayant une capacité d'interception au niveau des différentes passerelle de messagerie smtp ou en pop éventuellement au niveau de la passerelle web avec une interconnexion au format a4 et si jamais vous ou vos clients n'ont pas cette possibilité d'interconnecter la passerelle smtp ou la passerelle à icap directement il existe un mode span donc il va permettre de se connecter un sac de s'interconnecter directement au réseau pour récupérer l'ensemble des flux smtp http dns ftp et autres notamment https pour la réputation la réputation ip sans pour autant avoir besoin d'un connecteur la solution kata elle est aussi native dans d'autres solutions kaspersky qui sont kaspersky mail gateway cas smg et kaspersky linux mail server klm s c'est pratique d'avoir cette interconnexion puisque si le client protège des usages déjà pardon son système de messagerie ou sa partie web avec des solutions kaspersky ces solutions un peu à l'instar de ce qu'on est capable de faire avec le npa ait peuvent jouer le rôle de sonde pour la partie kata et c'est donc comme ça beaucoup plus simple d'interconnecter les différents éléments à ce fameux central indh la solution de manière générale pas forcément la partie réseau mais la partie xdr de manière générale dispose également d'un un pays donc un api au plein respect donc à notre pays http qui permet de lui transmettre des fichiers pour analyse et qui permet dans la dernière version de pouvoir aussi piloté incertaine certaine partie de la solution kaspersky et bien entendu il reste un connecteur important c'est le connecteur siem qui permet donc d'intégrer notre solution xdr en envoyant les différentes alertes et différents événements au sein d'un siège quel que soit le ciem qui a été choisi à partir de 6 log ou à partir d'autres choses bien entendu donc c'est bien cette association entre lentilles target et d'attac et le dr experts qui va former donc cette plate forme de protection étendue qu'on appelle xdr qui est une plate forme tout en un qui est basée sur une architecture serveur unifiée et qui va offrir ce cadre unique qui va permettre de l'investigation approfondie de la réponse aux menaces complexes tout ça à l'aide d'une seule et même console d'administration la plateforme va recueillir les données à partir du réseau et des endpoints donc en fonction des différentes sondes et des différentes installations que l'on a faits au niveau des postes de travail et des serveurs et elle va fournir en contrepartie des capacités d'investigation approfondie et des outils de chasse pour les différentes menaces notamment un accès à ce qu'on appelle les données rétrospectives donc sont les données qui vont être nécessaires aux d'investigation même lorsque à endpoint éventuellement compromis devient inaccessible sur le réseau ou lorsque les données de semaine paint compromis ont été chiffrés par exemple par un cybercriminel dans le cas d'un dard en six mois des possibilités de chasse aux menaces manuel qui sont réalisables au travers un outil de générateurs de requêtes donc on ne rentrera pas en détail dans cet outil de générateurs de roquette le but de ce web inard c'est de rester quand même assez assez généraliste est pas rentré forcément trop dans les détails techniques néanmoins ce sont des choses qui vous intéresse je vous invite à vous rapprocher de nos services on peut vous faire des démos personnalisé de nos produits ces fameux indicateurs en fait d' attaque alors on peut créer des requêtes pour faire de la de la recherche on peut aussi utiliser ce qu'on appelle des maillots à des indicateurs d'attac ces indicateurs d'attac sont majoritairement fournis par kaspersky c'est d'ailleurs ce sont nos experts qui créent ces indicateurs d'attac qui permettent de découvrir des menaces sur le sur le réseau en gros ces indicateurs d'attac doit être mis en correspondance avec la base de données de télémétrie mais également avec la base de données du framework smits attaque et ce qui va permettre en fait de lever d alerte importante sur sur le réseau ce qui est intéressant c'est que cet indicateur d'attac certes kaspersky ont fourni bien entendu mais vous avez aussi la possibilité de créer vos propres indicateurs d'attac donc en fonction de vos chercheurs en fonction de vos analystes ou en fonction de votre secteur d'activité également donc d'avoir la possibilité de créer des indicateurs d'attac personnalisé qui mettront à jour en fait différentes attaques si toutefois elles apparaissent sur votre raison à côté de ça la logique de détection ça va comprendre également un moteur anti malware bien entendu une sandbox annie ds la possibilité donc gelé dit créé ses propres lois mais également la possibilité de créer ses propres règles yara on y retrouve aussi l'ensemble des données de réputation qui proviennent de notre kaspersky security network donc notre base communautaire donc on retrouve dans notre outil xdr l'ensemble des données de réputation que ce soit des données de réputation sur les objets mais différent exécutable mais également les données de réputation sur les url si votre organisation à une politique de confidentialité stricte la solution peut également fonctionner en mode complètement isolé c'est à dire sans transférer aucune donnée en dehors du périmètre de l'organisation c'est possible également 1 grâce à l'ajout d'un autre produit de la gamme on s'étonnera pas trop sur le sujet aujourd'hui qui est le kaspersky private security network qui est en fait le pendant de notre base communautaire ksn mais déportés en interne en mode privé ce qui permet de bénéficier de l'ensemble de ses verdicts et de l'ensemble de ces données de réputation sans avoir à transmettre d'informations vers l'extérieur en standard dans la partie xdr les utilisateurs auront également accès à notre portail de renseignements sur les menaces de manière à obtenir un contexte supplémentaires ça c'est plutôt pratique lorsque l'on est en face de chasse ou en face d'une investigation un peu plus poussé et on va voir des données extérieures liés à cette à cette menace bien particulière excusez moi alors bien entendu l'ensemble de cette corrélation de cette détection de cette remontée à l'air ça aura aucune utilité si on n'avait pas en face des outils de réponse adaptée à chaque situation donc voici quelques exemples d'actions typique qui ont un arrêt pour une réponse centralisée qui s'effectuerait au pendant le processus de réponse à l'incident donc on a un processus de réponse à un incident en quatre phases l'analyse la conteneurisation avec l'investigation guidée de la menace la décision l'éradication et la remise à l'état initial de la machine qui a été là où les machines et qui ont été éventuellement compromise bien sûr tout ça part d'une notification d'incidents et aboutit à une clôture de ce fameux incident donc au cours de l'analyse de l'incident le produit va aider à qualifier cet incident encore une fois en utilisant des outils externes type mitre attaque ou en utilisant les différents moteurs de qualification qui sont intégrés aux produits ça va permettre également de prioriser l'incident si le client est équipé ou si vous êtes équipé directement d'un kaspersky endpoint security et que ce lp une security a déjà effectué un certain nombre d'actions sur la machine forcément la priorité de l'incident sera plus faible que quelque chose qui n'a pas été vu localement par l'outil de sécurité standard et puis bien sûr attribuée si l'équipe et et grandes dans le cas d'une équipe un peu luxueuse pouvoir attribuer un spécialiste l'enquète sur 7 sur cet incident une fois qu'on est dans la deuxième étape on peut isoler l'hôte bien sûr empêcher que la menace ne puisse par rebond allait aller se positionner sur d'autres machines du réseau donc isoler la machine qui est là où les machines qui sont qui sont susceptibles d'être d'être compromise arrêté le lancement d'un fichier supprimé un document exécuter des scripts met en quarantaine des objets récupérés des artefacts qui sont en lien avec la menace et des poussées dans la sandbox pour une analyse approfondie donc ça ça fait partie également des outils que l'on utilisera pendant la réponse à l'incident et puis bien sûr dans la phase de recovery donc la phase où on remettra à neuf la machine on aura encore une fois la possibilité de supprimer des objets de tuer des processus en mémoire d'exécuter diverses commandes pour remettre le système en état initial diverses actions de récupération du système que l'on pourrait avoir à positionner à cette étape de la réponse centralisée et puis bien sûr si on a isolé l'autre dans la première étape est bien pouvoir le désirent au lait pour le remettre en fonctionnement optimum lorsque l'incident sera clos alors là où certains outils vont nécessiter de la prise en main à distance d'un poste pour faire cette analyse ou la mise en place d'un chai la distante pour effectuer l'analyse mais aussi pour récupérer l'ensemble des informations qui vont être nécessaires pour élaborer pour que l'ingénieur en face de la console puisse élaborer un verdict précis la solution kaspersky elle va décentraliser l'ensemble des données de collecter donc l'ensemble de la télémétrie l'ensemble des objets l'ensemble des verdicts tout ça est décentralisée dans le data lake dans la base qui est en lien avec le central note c'est important parce que tout ce qui va être nécessaire à l'investigation même si le npa est inaccessible même si les données ne sont pas récupérables parce qu'elles ont été chiffrés on passe que le poste n'arrive pas à s'interconnecter avec la console de l'opérateur en question l'ensemble de ces données est présent dans le central note ça permet d'une part aux équipes d'avoir un accès à l'ensemble de ces informations éventuellement même pour faire de l'analyse rétrospective mais ça va permet également d'enquêter sur une attaque persistante qui par nature sont des attaques qui sont prolongés dans le temps et sont des attaques sur lequel l'attaquant va supprimer au fur et à mesure ses traces donc l'ensemble de ses traces n'étant plus présente sur le mpls ça n'a aucun intérêt de venir avec un shell distant pour tenter de récupérer des informations qui de toute façon ne seront plus présentes à un instant t par contre c'est très important d'avoir ces informations qui sont étaient corrélées dans le data lake du central mode de manière à pouvoir y revenir autant de fois qu'on veut voir même à corréler une information qui est arrivé aujourd'hui avec un événement qui est arrivé il ya trois semaines ou quatre semaines qu'ils vivent comme ça n'a aucun rapport mais si on regarde d'un peu plus près au moment de l'analyse et ben on s'aperçoit que c'est il s'agissait en fait du premier stage et quatre semaines de pénétration de l'attaquant dans dans l'entreprise je vais accélérer un petit peu parce que je vois que je dis plein de choses et que le temps file à la vitesse de l'éclair je voulais simplement vous montrer quelques quelques captures d'écran de la solution notamment sur la partie réponse guider c'est à dire que le produit ne fait pas que fournir tout un tas d'informations corrélés il va aussi aider l'ingénieur qui est en face de la solution a qualifié et et à fournir de la réponse lorsque lorsqu'il a une alerte donc il va y avoir en fait tout un tas de recommandations qui vont pouvoir s'afficher sur la partie droite de son écran dans lequel on va lui dit en bas là il est conseillé d'isoler l'hôte il est conseillé de faire une recherche voire si on n'a pas d'informations sur cet événement là qui aurait pu arriver rétrospectivement sur d'autres machines il ya quelques jours ou quelques semaines donc voilà il va être guidé au long de cette phase d' analyse manière à éviter de le laisser de laisser tout seul ça c'est un exemple sur sur l'ensemble des données qui ont été matés avec le framework sa mitre attaque donc comme je voulais dit l'ensemble des événements sont corrélées au niveau des différentes alertes avec les différentes techniques du framework se mettre en phase donc c'est là ça peut aider à essayer de connaître de comprendre de quel type d attaque on est on est victime et surtout de mettre en place des mesures planète palliatifs par la suite pour éviter de nouveaux d'être compromis delà même de la même manière sur la capacité de le dr il ya bien évidemment tout un tas d'outils d'investigation il ya ce fameux arbre d'exécution qui permet de remonter le temps ou de descendre le temps sur les différents outils donc on voit que wwf script point exe qui a exécuté cinq processus dont un power shell qui lui même a exécuté une ligne de commande au puisque et donc vous avez accès à cette ligne de commande au puits ce qui est derrière chiffrées et s'est donc tous ces outils d'analysé sont bien entendu présents dans le dans le module x dr donc on est capable de fournir l'ensemble des outils nécessaires à cette sécurité qui aujourd'hui primordial donc qui va de la partie au ppa le dr en passant par le nt a donc pour former la totalité du x dr mais est-ce qu'on peut pas essayer de voir un petit peu plus loin alors en effet c'est ce que je vous disais on a différents éléments aux différentes sondes positionner sur le réseau que ce soit des éléments de protection sur les haines paint mais également des éléments de protection sur les mails sur le réseau et sur la partie hybride puisque il ya une tendance quand même massive a évolué vers vers la partie vers la partie hybride le x dr kiffer cette détection cette corrélation cette analyse de cause route avec ses fameuses data lake donc l'ensemble des données de télémétrie et d'activités quand on a pu capter sur les haines point-e sur le réseau et puis cette possibilité d'interconnecter notre xtr à insieme ou un sort donc un outil pour centraliser les log ou un outils d'orchestration qui est un outil externe pour avoir une visibilité encore plus globale de ce qui peut se passer sur sur l'horizon quand je dis d'aller un petit peu plus loin alors c'est bien sûr de mettre des noms en face les différents noms de solutions en face des différents objets notamment sur la protection j'en reviens pas dessus on vient d'en parler pendant pendant 30 minutes anti target et d'attac sur la partie sur la partie purement réseau éventuellement secure mais le gateway sur la partie mail et puis le dr le pp ou les produits industriels je suis une petite parenthèse rapidement là dessus mais au cours de l'année nous allons sortir le premier edr industriel qui est basé sur le framework de dr experts et qui est complétée avec nos solutions dédiées au milieu au milieu industriel quelque chose de nouveau c'est ce que l'on appelle kuma qui est apparu dans ma petite brique de siem sort que j'avais positionner tout à l'heure avec la possibilité de dialoguer non pas que avec le x dr kaspersky mais également avec des solutions tierces j'ai souhaité vous en parler un petit peu au cours de ceux de ce webinar se secoue m'a donc kaspersky unified monitoring analysis plateforme ce combat n'est pas un siem en fait on ne souhaite pas simplement rajouté insieme il ya déjà plein de 6 m sur le marché le but n'est pas d'aller concurrencer ces 6èmes directement l'autre plan en fait un plan un plus long terme le but est de développer une plateforme unifiée et modulaire de cybersécurité donc dans un premier temps une version 1 est sorti il y a quelques mois cette solution un aujourd'hui s'apparente à de la surveillance et de l'analyse donc en gros à ce que pourrait faire un siem donc ce qui n'est pas forcément très intéressant dans un dans un premier temps mais le but c'est de faire évoluer cette plate forme vers un outils d'orchestration qui soit capable d'exécuter des scripts automatisé qui soit capable d'exécuter de la réponse automatisée au travers notre plateforme xdr et notamment au travers la partie edr experts sur les différends sur les différents endpoint et d'unifier l'ensemble des outils kaspersky mais pas que pour les plus attentifs vous auriez vu qui ici a indiqué third party solution donc d'avoir une console de management unifiée qui puisse s'interconnecter avec des proxys avec des failles roulent avec des routeurs avec d'autres équipements du réseau de manière à centraliser l'ensemble de ces informations dans une plate forme unique puisque plus on est capable de centraliser meilleur on aura en termes de visibilité sur l'ensemble du réseau un dernier point et après je passerai aux différentes questions et réponses nous sommes également capables de fournir et ce quelle que soit la solution donc là j'ai beaucoup parlé de la partie edr experts et de kaspersky et anti target et d'attac puisque le sujet du webinar c'était la partie xdr donc on a fait le focus sur ces sur ces produits là mais sachez qu'on a des offres mdr manage detection and response pour l'ensemble de la gamme y compris pour le dr optimum par exemple qui est donc le dr disponible pour les structures comme je l'aï dit au début qui ont des compétences un peu moins élevé en matière de sécurité et sur lequel sert strictement à rien de positionner le dr experts parce que de toute façon si on n'a pas la compréhension de ce qui se passe et l'analyse nécessaire à ce qui se passe au temps positionné plutôt un produit qui permettra d'automatiser un certain nombre de tâches et d'aider celui qui le pilote à mettre en place des contre mesures plutôt que de fournir une grosse une grosse machinerie qu'on ne sera pas capable de piloter donc pour l'ensemble de ces solutions on est capable de proposer donc du managed detection and response qui va se découper en deux offres une offre optimum et une offre experts excusez moi pour les termes optimum et experts n'ont rien à voir avec edr optimum et edr experts donc là c'est l'histoire de mettre un petit peu de confusion dans vos têtes mdr optimum et mdr experts sont les deux niveaux que l'on propose de mdr tout comme on propose un le dr optimum et un ed à experts au niveau 2 le dr mais on peut très bien avoir du mdr experts sur deux le dr optimum comme on peut avoir du mdr optimum sur deux le dr experts si vous n'avez pas compris cette phrase vous aurez un enregistrement pour en revenir dessus éventuellement un petit peu plus tard donc dans les deux niveaux c'est une surveillance en 24,7 des différents actifs avec une réponse et un playbook automatisé qui est fourni c'est à dire que lorsque l'on détecte une attaque ou travers nos outils on va vous fournir donc dans le cas d'odeur optimum un playbook c'est à dire l'ensemble de ce qu'il va falloir jouer localement pour éradiquer cette menace ce qui va différencier de la partie experts c'est que dans la partie experts vous pouvez demander aux ingénieurs kaspersky lundi riner du soc kaspersky d'intervenir sur les postes pour remédier à la situation la deuxième différence et après j'arrêterai là on passera aux questions réponses entre le mdr optimum et le mdr experts c'est le temps pendant lequel on va conserver les datas alors non pas les incidents ça s'est un temps légal on conserve pendant un an les différents incidents on vous a remonté mais surtout les l'ensemble des données de télémétrie ce qui permet encore une fois de faire de l'analyse rétrospective dans le cas de optimum il ya un mois de données qui est conservée donc on peut remonter jusqu'à éventuellement des attaques auraient pas été été détecté il ya un mois alors que ces trois mois pour la partie experts et de la même manière il ya un happy dans la partie externe qui est pas forcément nécessaire pour une solution de type d europe timone par exemple donc pour conclure sur sur ce webinar qui a duré malheureusement un petit peu plus de temps que ce que j'avais espéré l'approchent plus mature de kaspersky et en termes d'offre et la suivante trois niveaux de dr dont un qui est à un niveau xdr donc automatique de dr pour les petites structures qui veulent tous gérés de manière automatisée edr optimum pour les structures avec des indes et des des ingénieurs en devenir ou dans lequel on souhaite monter et accompagner ces jeunes ingénieurs sur la détection de nouvelles menaces et puis une solution complètement xdr qui est elle associée entre lentilles target et d'attac et le dr experts sachant que l'ensemble de ces trois solutions est couverte par l'offre managed detection and response