PDF

Voir la table des matières

Exigences relatives aux produits

RevealX Enterprise et Reveal(x) 360 uniquement

Thank you! We will contact you soon to ask how we can improve our documentation. We appreciate your feedback.

Ce sujet a-t-il été utile ?

Oui Non

Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?

Comment pouvons-nous nous améliorer ?

Need more help?

Ask the Community

FAQ sur l'analyse collective des menaces

Qu'est-ce que l'analyse collective des menaces ?

L'analyse collective des menaces permet aux utilisateurs de partager certaines données avec ExtraHop afin d' améliorer la précision des détections, telles que le balisage Command-and-Control (C&C), et de générer de nouvelles détections, telles que l'identification de hachages de fichiers malveillants.

Les utilisateurs de RevealX Enterprise peuvent envoyer des données en texte brut au service d'apprentissage automatique en optant pour l'analyse collective des menaces dans les paramètres d'administration. Par exemple, le système ExtraHop peut envoyer des noms de domaine, des noms d'hôtes, des hachages de fichiers et des adresses IP externes. Ce paramètre est activé par défaut dans RevealX360 et ne peut pas être désactivé. Pour obtenir la liste complète des types de données envoyés au service d'apprentissage automatique ExtraHop et pour voir comment les données sont utilisées pour améliorer la détection des menaces, consultez la section Machine Learning du Présentation de la sécurité, de la confidentialité et de la confiance d'ExtraHop .

En choisissant de partager ces données en texte brut, vous contribuez à un vaste ensemble de données communautaire qui peut être analysé afin d'améliorer le système ExtraHop pour tous. Cet ensemble de données comprend à la fois des données en texte brut et des métadonnées anonymisées associées aux menaces détectées par ExtraHop.

Dans quelle mesure mes données sont-elles sécurisées ?

Les données envoyées aux services cloud ExtraHop susceptibles d'identifier de manière unique un participant au réseau (comme une adresse IP ou un nom d'utilisateur) sont cryptées à l'aide d'une clé stockée sur sonde et auxquels ExtraHop n'a pas accès.

Lorsque vous optez pour l'analyse collective des menaces, les données sont envoyées au service d'apprentissage automatique via des connexions TLS 1.2 ou TLS 1.3 et une confidentialité parfaite (PFS). Les données en transit et les données au repos sont stockées en toute sécurité dans une banque de données cryptée hautement protégée .

Vous pouvez en savoir plus sur la manière dont ExtraHop sécurise vos données dans Présentation de la sécurité, de la confidentialité et de la confiance d'ExtraHop .

Pourquoi devrais-je m'inscrire ?

Voici les avantages que vous pouvez tirer de votre contribution à la recherche et à l'analyse collectives.

Améliorez le contexte de vos détections: L'apprentissage automatique basé sur le cloud ExtraHop peut tirer parti des données en texte brut pour analyser les comportements suspects. Des données riches font apparaître des détections avec une plus grande fiabilité.
Prenons l'exemple du site Web d'un café local dont les analyses Web sont mal configurées. Votre navigateur contacte fréquemment un serveur d'analyse externe pour obtenir des statistiques de performance. Le trafic du site Web peut être détecté sur votre réseau pendant un balisage rapide de 30 secondes, un comportement également fréquemment observé dans les balises de commande et de contrôle (C&C) malveillantes. Cependant, en accédant au nom d'hôte externe en texte brut et à l'adresse IP du serveur d'analyse associé à la détection, le système ExtraHop peut mieux déterminer si le balisage rapide est lié à une source malveillante connue. L'amélioration du contexte permet à ExtraHop de vous indiquer quand le trafic est malveillant et de réduire le nombre de faux positifs.
Aidez à stopper les nouvelles attaques sur votre réseau: ExtraHop effectue des analyses de données volumineuses afin de détecter les attaques furtives et avancées que les organisations pourraient ignorer. L'ensemble de la clientèle est automatiquement et immédiatement protégé contre chaque nouvelle menace identifiée.
Par exemple, ExtraHop peut observer que des appareils de plusieurs réseaux établissent des tunnels SSH inversés vers une adresse IP suspecte. Après une analyse plus approfondie, l'adresse IP suspecte semble héberger un serveur C&C qui présente des comportements précédemment associés à un groupe de menaces connu. ExtraHop peut rapidement mettre à jour tous les équipements déployés capteurs avec des détections pour protéger tous les déploiements connectés au cloud contre la nouvelle menace identifiée.
Améliorez les modèles d'apprentissage automatique dans vos détections: ExtraHop exploite les données provenant de la communauté pour entraîner des algorithmes d'apprentissage automatique et développer de nouveaux modèles d'apprentissage automatique, conçus pour détecter les attaques sur les réseaux des utilisateurs. Nous affinons également notre compréhension des comportements bénins en surveillant la façon dont les comportements se manifestent sur les réseaux de différents secteurs, tailles et zones géographiques.

Quelle est la différence entre des renseignements sur les menaces étendus et une analyse collective des menaces ?

Les données envoyées à l'analyse collective des menaces sont ajoutées à un pool de données anonymisées et étudiées pour améliorer les détections par apprentissage automatique, identifier de nouveaux types d'attaques, générer des détections pour les hachages de fichiers malveillants et améliorer la précision des détections existantes. Données partagées avec renseignements sur les menaces élargis est immédiatement examiné en fonction d'une collection étendue de renseignements sur les menaces, puis est rejeté.

Les deux services sont activés automatiquement dans RevealX 360, mais les administrateurs de RevealX Enterprise doivent s'inscrire dans les paramètres d'administration.

Puis-je me désinscrire ?

Ce service est activé par défaut dans RevealX 360 et ne peut pas être désactivé. L'analyse collective des menaces est désactivée par défaut dans les systèmes RevealX Enterprise et les administrateurs peuvent activer le service dans les paramètres d'administration.

Les détecteurs qui prennent en charge l'analyse collective des menaces affichent à tous les utilisateurs une notification de rappel dans la vue Grouper par type de détection et la vue détaillée de la détection. Les administrateurs peuvent choisir de masquer les rappels intégrés au produit.

Les paramètres suivants sont disponibles :

Ajoutez des noms de domaine, des noms d'hôte, des hachages de fichiers et des adresses IP externes pour une analyse collective des menaces
Ne contribuez pas à l'analyse collective des menaces
Ne contribuez pas à l'analyse collective des menaces et n'affichez pas de rappels intégrés au produit

La désactivation arrêtera-t-elle les détections de hachage de fichiers malveillants ?

Oui Les détections de hachage de fichiers malveillants doivent répondre aux exigences suivantes :

Module de détection et de réponse réseau (NDR)
Module de système de détection d'intrusion (IDS)
Inscrivez-vous à l'analyse collective des menaces

En outre, l'option Expanded Threat Intelligence permet d'obtenir des informations contextuelles supplémentaires sur les hachages de fichiers fournies par CrowdStrike et Mandiant.

La désactivation désactivera-t-elle complètement le service d'apprentissage automatique ExtraHop ?

Non Tant que Services cloud ExtraHop sont activés, vous continuez à partager des données avec le service d'apprentissage automatique ExtraHop dans le cadre de votre licence, mais vous ne contribuerez pas à améliorer les détections et vous ne recevez pas de détections liées à des hachages de fichiers malveillants (la détection du hachage de fichiers malveillants nécessite le module IDS).

Last modified 2025-03-28

Documentation

Concepts

Comment faire

Procédures

Administration

Guides API

Déploiement

Products

Network Detection and Response

Network Performance Monitoring

RevealX™ Platform

Customers

Community

Partners

Support

Training

Resources

Customer Stories

Integrations

Company

About Us

Careers

Newsroom

Events

Blog