Kaspersky et Microsoft se sont associés dans une démarche qui verra l’intégration des flux de données sur les menaces du premier à Microsoft Sentinel, une solution cloud native de gestion des informations et des événements de sécurité (SIEM) et d’orchestration, d’automatisation et de réponse de la sécurité (SOAR).
Selon les entreprises, cela aidera à fournir aux utilisateurs de Sentinel un contexte exploitable pour l’investigation et la réponse aux attaques, en les armant des dernières informations pour contrer les cyberattaques.
Grâce à cette intégration, les équipes de sécurité des entreprises peuvent étendre les capacités de détection des cybermenaces et accroître l’efficacité du tri initial des alertes, de la chasse aux menaces ou de la réponse aux incidents, ajoutent-ils.
Le contexte exploitable dans les flux comprend les noms des menaces, les horodatages, la géolocalisation, les adresses IP résolues des ressources Web infectées, les hachages, la popularité ou d’autres termes de recherche. Grâce à ces données, les équipes de sécurité ou les analystes du SOC peuvent accélérer le triage initial des alertes en prenant des décisions éclairées en matière d’enquête ou de transmission à une équipe de réponse aux incidents.
Les flux de données sur les menaces de Kaspersky sont générés automatiquement en temps réel et regroupent des données de haute qualité provenant de plusieurs sources fiables dans le monde entier.
Cela inclut le réseau de sécurité Kaspersky qui couvre des millions de participants volontaires dans le monde, le service de surveillance des botnets, les pièges à spam, ainsi que les experts Kaspersky des équipes GReAT et R&D.
Toutes les données sont soigneusement inspectées et affinées avec des techniques de prétraitement dédiées, explique le géant de la sécurité.
Microsoft Sentinel utilise le protocole TAXII et obtient des flux de données au format STIX, ce qui permet de configurer Kaspersky Threat Data Feeds en tant que source TAXII Threat Intelligence dans l’interface, explique Kaspersky. Une fois importé, les équipes de cybersécurité peuvent utiliser des règles analytiques prêtes à l’emploi pour faire correspondre les indicateurs de menace des flux avec les journaux.
Ivan Vassunov, vice-président des produits d’entreprise chez Kaspersky, déclare que le partenariat aidera les utilisateurs de Microsoft Sentinel à accéder aux renseignements fiables sur les menaces de Kaspersky.
« L’intégration étendue avec des contrôles de sécurité tiers permet aux clients d’opérationnaliser encore plus facilement notre TI, qui est l’une de nos principales priorités. Les informations sur les menaces de Kaspersky sont conçues pour être adaptées aux besoins de toute organisation, car nous collectons des données à partir d’un grand nombre de sources différentes et diverses pour couvrir les organisations dans des secteurs d’activité spécifiques, des géolocalisations et des paysages de menaces spécifiques », a-t-il déclaré.
