État de la cybersécurité en 2024
Sécuriser les nouveaux modes de travail : attendez, c’est quoi cette application qui tourne sur votre ordinateur ?
Avec de plus en plus de collaborateurs travaillant à distance, il est évident que beaucoup d’applications vont être téléchargées et installées sur les postes de travail. Voici un cas d’analyse (« Analytic Story ») issu de la bibliothèque Enterprise Security Use Case.
Cas d’analyse : la supervision des applications non autorisées
Ce cas d’analyse apporte un guide pour investiguer et identifier les logiciels non autorisés ou les processus interdits qui peuvent cacher un comportement malicieux dans votre environnement. Il existe également un cas d’analyse similaire pour superviser les logiciels obsolètes.
Dans le contexte actuel, il faut considérer que le risque d’installation, par les utilisateurs, d'un nombre plus élevé de logiciels sur les postes de travail est plus fort. De plus, si vous utilisiez déjà cette recherche, il faut en revoir la fréquence d’analyse, car le télétravail va probablement changer certaines exigences techniques sur les postes de travail.
Parmi ces recherches, on trouve par exemple :
- l’identification des logiciels interdits installés sur le poste de travail ;
- la récupération des logs d’authentification sur le poste de travail ;
- la récupération des logs de vulnérabilités pour le poste de travail ;
- l’investigation des activités Web émanant du poste de travail ;
- l’ajout de processus interdits à Splunk Enterprise Security.
Pour chacune d’entre elles, l’utilisateur peut éditer la recherche de corrélation, comme exposé ci-dessous pour l’identification des logiciels interdits installés sur le poste de travail :
Les sources de données requises pour ce cas d’analyse sont l’EDR (Endpoint detection and response), comme par exemple Carbon Black, CrowdStrike et Sysmon.
Cliquez ici pour accéder à des guides pratiques présentant comment sécuriser votre entreprise dans cette nouvelle ère du télétravail.
Remerciements aux contributeurs de cet article de blog : Bryan Sadowski, Lily Lee, Rene Aguero, James Brodsky, Chris Simmons, Lionel Gonzalez et Jérôme Chagnoux.
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
Articles similaires
À propos de Splunk
La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.
Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.
Échangez avec Splunk sur X
Suivre @splunk
