C’est pourquoi Sophos Cloud Workload Protection with XDR (Extended Detection and Response) intègre à présent de nouvelles sources de données au niveau de l’environnement Cloud AWS, avec des requêtes faciles à suivre, correspondant aux éléments clés de la matrice MITRE ATT&CK IaaS, afin d’aider à investiguer les incidents dans AWS.
Cette nouvelle capacité est offerte grâce à notre dernière intégration XDR, mais cette fois au niveau de Cloud Optix : le service Sophos de gestion de la posture de sécurité du Cloud (CSPM : Cloud Security Posture Management).
Amélioration de la protection des workloads Cloud grâce à la fonctionnalité XDR
Intercept X Advanced for Server with XDR et Cloud Optix constituent véritablement la colonne vertébrale de Sophos Cloud Workload Protection.
Sophos Intercept X fournit des protections actives pour bloquer les dernières menaces avancées cherchant à compromettre les hôtes, les données et les systèmes, tandis que Sophos Cloud Optix garantit une configuration appropriée des ressources et des environnements Cloud afin de stopper de manière proactive les attaques en premier lieu.
Cette approche connectée est cruciale pour les contrôles de sécurité, car les entreprises à l’heure actuelle déploient toujours davantage de ressources Cloud et utilisent des nouveaux services Cloud natifs tels que les conteneurs et les technologies sans serveur (serverless).
Présentation de Sophos XDR pour les workloads Cloud
Accroître l’étendue de vos sources de données
- Les sources de données sont essentielles à une stratégie XDR efficace.
- Sophos XDR va au-delà des systèmes endpoint, en extrayant les données riches des réseaux virtuels, des messageries SaaS et des workloads Cloud. Ces données sont ensuite enrichies par les sources de données de l’environnement Cloud AWS issues de Cloud Optix, permettant ainsi d’avoir une meilleure visibilité sur les tactiques des attaquants dans vos environnements Cloud.
Utilisation de la télémétrie étendue pour la détection d’activités
- Sophos XDR, grâce aux données de Cloud Optix, permet aux équipes de sécurité d’être au plus près des événements de sécurité lorsqu’ils surviennent, avec des capacités de détection multiplateformes qui permettent de fournir des informations plus précises ainsi qu’un contexte plus détaillé afin de pouvoir traiter les problèmes.
- En exploitant les données Cloud Optix du service AWS CloudTrail dans Sophos XDR, les équipes de sécurité peuvent investiguer les activités de l’API, du CLI (interface en ligne de commande) et de la console de gestion de l’environnement Cloud AWS. L’utilisation de requêtes SQL entièrement personnalisables et prédéfinies associées à la matrice MITRE ATT&CK permet notamment d’identifier les tactiques d’accès initial, de persistance, d’élévation de privilèges et d’exfiltration.
Investiguer les incidents et y répondre de manière plus ciblée
- En aidant les équipes à avoir une vue d’ensemble depuis une console centralisée pendant leurs investigations, ces dernières peuvent identifier plus rapidement les risques et les éventuelles compromissions.
- Les données Cloud Optix de Sophos XDR permettent de renforcer la valeur des alertes AWS CloudTrail et aident les analystes à rechercher plus efficacement les chemins d’attaque qu’un cybercriminel pourrait emprunter après avoir eu accès à un environnement AWS.
- Les équipes peuvent désormais pivoter au sein de la même console à partir de détections telles que la désactivation de l’authentification multifacteur (MFA) pour un utilisateur IAM d’AWS ; la modification des attributs de l’instantané d’une instance EC2 d’AWS qui pourrait permettre la copie, le déplacement ou la divulgation publique des ressources ; ou encore l’exfiltration de données à partir d’instances EC2 d’AWS. Des requêtes supplémentaires peuvent être exécutées afin d’enrichir les investigations telles que l’activité des adresses IP, la détection ATP ou les données de threat-intelligence externes afin de prendre des mesures si nécessaire.
Comment démarrer ?
Pour vous permettre de démarrer, vous aurez besoin d’Intercept X Advanced for Server ou Endpoint with XDR et de Sophos Cloud Optix avec l’option AWS CloudTrail activée.
Pour en savoir plus sur la manière avec laquelle Cloud Optix permet aux équipes IT de protéger de manière proactive les environnements Cloud, vous pouvez vous rendre sur Sophos.com/Cloud-Optix. Vous pourrez alors l’essayer gratuitement, l’acheter sur AWS Marketplace et en découvrir davantage sur Sophos XDR pour les workloads Cloud.
Billet inspiré de Improving threat detection and response in AWS with Sophos XDR, sur le Blog Sophos.