PDF

Voir la table des matières

Exigences relatives aux produits

RevealX Enterprise et Reveal(x) 360 uniquement

Thank you! We will contact you soon to ask how we can improve our documentation. We appreciate your feedback.

Ce sujet a-t-il été utile ?

Oui Non

Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?

Comment pouvons-nous nous améliorer ?

Need more help?

Ask the Community

FAQ étendue sur les renseignements sur les menaces

Qu'est-ce que les renseignements sur les menaces étendus ?

Des renseignements sur les menaces étendus permettent aux utilisateurs de partager certaines données avec ExtraHop pour les comparer à une collection plus importante d'indicateurs de renseignements sur les menaces CrowdStrike et Mandiant, de points de terminaison bénins et d'autres informations sur le trafic réseau. L'analyse des données par rapport à une bibliothèque étendue de renseignements permet de mieux identifier les terminaux malveillants, d'améliorer la précision des détections et d'enrichir contextuellement les informations de détection afin de permettre des évaluations rapides et éclairées des détections.

Les utilisateurs de RevealX Enterprise doivent activer ce service en activant les services cloud ExtraHop et en choisissant de bénéficier de renseignements sur les menaces étendus dans les paramètres d'administration. Une fois activé, le système peut envoyer les adresses IP, les noms de domaine, les noms d'hôte, les hachages de fichiers et les URL observées sur votre système pour un examen en temps réel par rapport à une plus grande collection de renseignements sur les menaces. Ce paramètre est activé par défaut dans RevealX360 et ne peut pas être désactivé. Pour obtenir la liste complète des types de données envoyés à ExtraHop Cloud Services et pour voir comment les données sont utilisées pour améliorer la détection des menaces, consultez la section Machine Learning du Présentation de la sécurité, de la confidentialité et de la confiance d'ExtraHop.

Dans quelle mesure mes données sont-elles sécurisées ?

Quand tu optez pour des renseignements sur les menaces étendus, la sonde ExtraHop envoie ces métadonnées à ExtraHop Cloud Services via des connexions TLS 1.2 ou TLS 1.3 et une confidentialité parfaite (PFS). Les adresses IP, les noms de domaine, les noms d'hôte, les hachages de fichiers et les URL envoyés aux services cloud pour des renseignements sur les menaces étendus sont immédiatement examinés puis supprimés.

Vous pouvez en savoir plus sur la manière dont ExtraHop sécurise vos données dans le Présentation de la sécurité, de la confidentialité et de la confiance d'ExtraHop .

Pourquoi devrais-je m'inscrire ?

Voici comment vous pouvez tirer parti de renseignements sur les menaces étendus.

La puissance du traitement dans le cloud: L'apprentissage automatique basé sur le cloud ExtraHop offre des capacités de traitement qui vont bien au-delà de la capacité des capteurs individuels. En optant pour des renseignements sur les menaces étendus, vous pouvez accéder à une vaste bibliothèque d'indicateurs de menaces qui ne pourraient pas être appliqués efficacement au niveau des sondes, mais qui peuvent être traités en temps réel grâce à la puissance informatique des ressources cloud ExtraHop.
Couverture supplémentaire de CrowdStrike et Mandiant: Le système ExtraHop propose des collectes de menaces provenant de CrowdStrike en tant que composant standard des renseignements sur les menaces intégrés. En optant pour des renseignements étendus sur les menaces, vous avez accès à une collection beaucoup plus importante d'indicateurs CrowdStrike et Mandiant Security Validation (MSV) à comparer au trafic de votre réseau.
Plus d'informations maintenant, moins d'investigations plus tard: Le renseignement sur les menaces ne consiste pas uniquement à identifier les adresses IP suspectes ou les hachages de fichiers malveillants. Il s'agit également d'identifier rapidement le trafic qui n'est pas suspect. ExtraHop exploite les données du réseau pour classer les activités réseau bénignes et éliminer le bruit des activités inoffensives des flux de travail d'investigation . Le fait d'opter pour des renseignements sur les menaces étendus permet à ExtraHop de filtrer ce que les analystes vont voir grâce à la plus grande collection possible d'indicateurs de menaces et de modèles de comportement bénins, et de ne présenter que des informations exploitables de qualité.

Quelle est la différence entre des renseignements sur les menaces étendus et une analyse collective des menaces ?

Données envoyées à analyse collective des menaces est ajouté à un pool de données anonymisé et étudié pour améliorer les détections par apprentissage automatique, identifier de nouveaux types d'attaques, générer des détections pour les hachages de fichiers malveillants et améliorer la précision des détections existantes. Les données partagées dans le cadre de renseignements sur les menaces étendus sont immédiatement examinées par rapport à une collection étendue de renseignements sur les menaces, puis sont supprimées.

Les deux services sont activés automatiquement dans RevealX 360, mais les administrateurs de RevealX Enterprise doivent s'inscrire dans les paramètres d'administration.

Puis-je me désinscrire ?

Ce service est activé dans RevealX360 par défaut et ne peut pas être désactivé. Les renseignements sur les menaces étendus sont désactivés par défaut dans les systèmes RevealX Enterprise et les administrateurs peuvent activer le service dans les paramètres d'administration.

Les paramètres suivants sont disponibles :

J'accepte d'envoyer des adresses IP, des noms de domaine, des noms d'hôtes, des hachages de fichiers et des URL à ExtraHop Cloud Services.
Je ne souhaite pas envoyer d'adresses IP, de noms de domaine, de noms d'hôte, de hachages de fichiers et d'URL à ExtraHop Cloud Services et je comprends que mes données ne seront pas examinées par rapport à la collecte complète de renseignements sur les menaces.

La désinscription mettra-t-elle fin à toutes les détections basées sur les renseignements sur les menaces ?

Non Si vous vous désabonnez des renseignements sur les menaces étendus, vos données ne seront pas examinées par rapport à une collecte complète de renseignements sur les menaces. Les données du réseau seront toujours examinées par rapport aux renseignements sur les menaces provenant de sources locales, notamment les collections de menaces intégrées, les fichiers STIX téléchargés et les flux TAXII. Par exemple, vous verrez toujours des détections basées sur les collections de menaces intégrées à CrowdStrike.

La désactivation arrêtera-t-elle les détections de hachage de fichiers malveillants ?

Non Les détections de hachage de fichiers malveillants doivent répondre aux exigences suivantes :

Module de détection et de réponse réseau (NDR)
Module de système de détection d'intrusion (IDS)
Inscrivez-vous à l'analyse collective des menaces

Toutefois, l'option Expanded Threat Intelligence permet d'obtenir des informations contextuelles supplémentaires sur les hachages de fichiers fournies par CrowdStrike et Mandiant.

La désactivation désactivera-t-elle complètement le service d'apprentissage automatique ExtraHop ?

Non Tant que Services cloud ExtraHop sont activés, vous continuerez à partager des données avec le service d'apprentissage automatique ExtraHop dans le cadre de votre licence.

Last modified 2025-03-28

Documentation

Concepts

Comment faire

Procédures

Administration

Guides API

Déploiement

Products

Network Detection and Response

Network Performance Monitoring

RevealX™ Platform

Customers

Community

Partners

Support

Training

Resources

Customer Stories

Integrations

Company

About Us

Careers

Newsroom

Events

Blog