FAQ sur l'analyse collective des menaces
Qu'est-ce que l'analyse collective des menaces ?
L'analyse collective des menaces permet aux utilisateurs de partager certaines données avec ExtraHop afin d'améliorer la précision des détections, telles que le balisage Command-and-Control (C&C).
Par défaut, toutes les données envoyées au service ExtraHop Cloud susceptibles d' identifier de manière unique un participant au réseau (comme une adresse IP ou un nom d'utilisateur) sont cryptées à l'aide d'une clé stockée sur le sonde et auxquels ExtraHop n'a pas accès.
Les utilisateurs de Reveal (x) Enterprise peuvent envoyer des données au service d'apprentissage automatique en activant les services cloud ExtraHop dans les paramètres d'administration. Par exemple, le système peut envoyer des adresses IP externes en texte brut, des noms de domaine et des noms d'hôte associés à un comportement suspect détecté. Ce paramètre est activé par défaut dans Reveal (x) 360 et ne peut pas être désactivé. Pour obtenir la liste complète des types de données envoyés au service d'apprentissage automatique ExtraHop et pour voir comment les données sont utilisées pour améliorer la détection des menaces, consultez la section Machine Learning du Présentation de la sécurité, de la confidentialité et de la confiance d'ExtraHop.
En choisissant de partager ces données en texte brut, vous contribuez à un vaste ensemble de données communautaire qui peut être analysé dans l'intérêt de tous, en particulier du vôtre. Cet ensemble de données comprend à la fois des données en texte brut et des métadonnées anonymisées associées aux menaces détectées par ExtraHop.
Dans quelle mesure mes données sont-elles sécurisées ?
Quand tu Optez pour envoyer à ExtraHop les adresses IP externes en texte brut, les noms d'hôte et les noms de domaine observées sur votre réseau, la sonde ExtraHop envoie ces métadonnées au service d'apprentissage automatique via des connexions TLS 1.2 ou TLS 1.3 et une confidentialité parfaite (PFS). Les données en transit et les données au repos sont stockées en toute sécurité dans une banque de données cryptée hautement protégée.
Pour en savoir plus sur la manière dont ExtraHop sécurise vos données, consultez l'aperçu de la sécurité, de la confidentialité et de la confiance d'ExtraHop.
Pourquoi devrais-je m'inscrire ?
Voici les avantages que vous pouvez tirer de votre contribution à la recherche et à l'analyse collectives.
- Améliorez le contexte de vos détections
- L'apprentissage automatique basé sur le cloud ExtraHop peut tirer parti des données
en texte brut pour analyser les comportements suspects. Des données riches permettent de détecter des surfaces de données avec une
plus grande fiabilité.
Prenons l'exemple du site Web d'un café local dont les analyses Web sont mal configurées. Ce site Web contacte fréquemment un serveur d'analyse externe pour obtenir des statistiques de performance. Le trafic du site Web peut être détecté sur votre réseau lors d'un balisage rapide de 30 secondes, un comportement également fréquemment observé dans les balises de commande et de contrôle (C&C) malveillantes. Cependant, en accédant au nom d'hôte externe en texte brut et à l'adresse IP du serveur d'analyse associé à la détection, le système ExtraHop peut mieux déterminer si le balisage rapide est lié à une source malveillante connue. L'amélioration du contexte permet à ExtraHop de vous indiquer quand le trafic est malveillant et de réduire le nombre de faux positifs.
- Aidez à stopper les nouvelles attaques sur votre réseau
- ExtraHop effectue des analyses de données volumineuses pour détecter les
attaques furtives et avancées que les organisations pourraient ignorer. L'ensemble de la
clientèle est automatiquement et immédiatement protégé contre chaque nouvelle
menace identifiée.
Par exemple, ExtraHop peut observer que des appareils de plusieurs réseaux établissent des tunnels SSH inversés vers une adresse IP suspecte. Après une analyse plus approfondie, l'adresse IP suspecte semble héberger un serveur C&C qui présente des comportements précédemment associés à un groupe de menaces connu. ExtraHop met immédiatement à jour tous les équipements déployés capteurs avec des détections pour protéger tous les déploiements connectés au cloud contre la nouvelle menace identifiée.
- Améliorez les modèles d'apprentissage automatique dans vos détections
- ExtraHop exploite les données provenant de la communauté pour former des algorithmes d'apprentissage automatique et développer de nouveaux modèles d'apprentissage automatique, conçus pour détecter les attaques sur les réseaux des utilisateurs. Nous affinons également notre compréhension des comportements bénins en surveillant la façon dont les comportements se manifestent sur les réseaux de différents secteurs, tailles et zones géographiques.
Puis-je me désinscrire ?
Dans les capteurs Reveal (x) Enterprise, vous pouvez désactiver le paramètre par défaut qui permet l'analyse collective des menaces.
Les détecteurs qui prennent en charge l'analyse collective des menaces affichent à tous les utilisateurs une notification de rappel dans la vue Grouper par type de détection et la vue détaillée de la détection. Les administrateurs peuvent choisir de masquer les rappels intégrés au produit.
- Fournissez des adresses IP externes, des noms de domaine et des noms d'hôte pour une analyse collective des menaces
- Ne contribuez pas à l'analyse collective des menaces
- Ne contribuez pas à l'analyse collective des menaces et n'affichez pas de rappels intégrés au produit
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?