Plateforme Avant-Poste

La plateforme de sécurité Open Source

Avant-poste est une solution de surveillance de la sécurité prête pour l’entreprise pour la détection des menaces, la surveillance de l’intégrité, la réponse aux incidents et la conformité.

CYD Services fournit une solution de sécurité capable de surveiller votre infrastructure, de détecter les menaces, les tentatives d’intrusion, les anomalies du système, les applications mal configurées et les actions des utilisateurs non autorisés. Il fournit également un cadre pour la conformité réglementaire.

L’agent léger « avant-poste » est conçu pour effectuer un certain nombre de tâches dans le but de détecter les menaces. Les fonctionnalités principales de l’agent sont :

Collecte de données de journal et d’événements

Surveillance de l’intégrité des fichiers et des clés de registre

Inventaire des processus en cours et des applications installées

Surveillance des ports ouverts et de la configuration du réseau

Détection de rootkits ou d’artefacts malveillants

Évaluation de la configuration et surveillance des politiques

Exécution des réponses actives

Les agents « avant-poste » s’exécutent sur de nombreuses plates-formes différentes, notamment Windows, Linux, Mac OS X, AIX, Solaris et HP-UX. Ils peuvent être configurés et gérés depuis le serveur « avant-poste »

Services

Le serveur « avant-poste » est chargé d’analyser les données reçues des agents, de traiter les événements via des décodeurs et des règles, et d’utiliser les informations sur les menaces pour rechercher les IOC (Indicateurs de compromis) bien connus. Un seul serveur « avant-poste » peut analyser les données de centaines ou de milliers d’agents et évoluer horizontalement lorsqu’il est configuré en mode cluster. Le serveur est également utilisé pour gérer les agents, les configurer et les mettre à niveau à distance si nécessaire. De plus, le serveur est capable d’envoyer des ordres aux agents, par exemple pour déclencher une réponse lorsqu’une menace est détectée.

Analyse de sécurité

« Avant-poste » est utilisé pour collecter, agréger, indexer et analyser les données de sécurité, aidant les organisations à détecter les intrusions, les menaces et les anomalies comportementales. Alors que les cybermenaces deviennent de plus en plus sophistiquées, une surveillance et une analyse de sécurité en temps réel sont nécessaires pour une détection et une résolution rapide des menaces. C’est pourquoi notre agent léger fournit les capacités de surveillance et de réponse nécessaires, tandis que notre composant serveur fournit l’intelligence de sécurité et effectue l’analyse des données.

Détection d’intrusion

Les agents « avant-poste » analysent les systèmes surveillés à la recherche de logiciels malveillants, de rootkits et d’anomalies suspectes. Ils peuvent détecter des fichiers cachés, des processus masqués ou des écouteurs réseau non enregistrés, ainsi que des incohérences dans les réponses aux appels système. En plus des capacités d’agent, le serveur utilise une approche basée sur les signatures pour la détection des intrusions, en utilisant son moteur d’expression régulière pour analyser les données de journal collectées, et pour rechercher des indicateurs de compromission.

Analyse des données de journal

Les agents « avant-poste » lisent les journaux du système d’exploitation et des applications, et les transmettent en toute sécurité à un gestionnaire central pour une analyse et un stockage basé sur des règles. Les règles « avant-poste » vous aident à être informé des erreurs d’application ou du système, des erreurs de configuration, des tentatives et/ou des activités malveillantes réussies, des violations de politique et de divers autres problèmes de sécurité et de fonctionnement.

Surveillance de l’intégrité des fichiers

« Avant-poste » surveille le système de fichiers, identifiant les changements de contenu, les autorisations, la propriété et les attributs des fichiers que vous devez surveiller. De plus, il identifie nativement les utilisateurs et les applications utilisées pour créer ou modifier des fichiers. Les capacités de surveillance de l’intégrité des fichiers peuvent être utilisées en combinaison avec les renseignements sur les menaces pour identifier les menaces ou les hôtes compromis. De plus, plusieurs normes de conformité réglementaires, telles que PCI DSS, l’exigent.

Détection de vulnérabilité

Les agents « avant-poste » récupèrent les données d’inventaire logiciel et envoient ces informations au serveur, où elles sont corrélées avec des bases de données CVE (Common Vulnerabilities and Exposure) mises à jour en permanence, afin d’identifier les logiciels vulnérables bien connus. L’évaluation automatisée des vulnérabilités vous aide à trouver les points faibles de vos actifs critiques et à prendre des mesures correctives avant que les attaquants ne les exploitent pour saboter votre entreprise ou voler des données confidentielles.

Évaluation de la configuration

« Avant-poste » surveille les paramètres de configuration du système et des applications pour s’assurer qu’ils sont conformes à vos politiques de sécurité, normes et/ou guides de renforcement. Les agents effectuent des analyses périodiques pour détecter les applications connues pour être vulnérables, non corrigées ou configurées de manière non sécurisée. De plus, les contrôles de configuration peuvent être personnalisés, en les adaptant pour s’aligner correctement avec votre organisation. Les alertes incluent des recommandations pour une meilleure configuration, des références et un mappage avec la conformité réglementaire.

Sécurité des conteneurs

« Avant-poste » offre une visibilité sur la sécurité de vos hôtes et conteneurs Docker, en surveillant leur comportement et en détectant les menaces, les vulnérabilités et les anomalies. L’agent “avant-poste” a une intégration native avec le moteur Docker permettant aux utilisateurs de surveiller les images, les volumes, les paramètres réseau et les conteneurs en cours d’exécution. « Avant-poste » collecte et analyse en permanence des informations d’exécution détaillées. Par exemple, des alertes pour les conteneurs s’exécutant en mode privilégié, les applications vulnérables, un shell s’exécutant dans un conteneur, les modifications apportées aux volumes ou images persistants et d’autres menaces possibles.

Adresse :

Téléphone :