Dès qu’un flux malveillant est identifié à l’entrée de votre réseau local ou dès qu’un trafic vers un site malveillant est généré depuis votre réseau local, vous êtes alertés automatiquement. Cette alerte est envoyée par email avec un diagnostic et une préconisation d’actions curatives.

Derrière ce processus en apparence simple, se cache un acronyme cyber : le SOAR. Explications.

Le SOAR : définition

Le sigle SOAR (Security Orchestration, Automation and Response ou, en français, Orchestration, automatisation et réponse aux incidents de sécurité informatique) décrit les technologies qui permettent de protéger les systèmes informatiques contre les menaces.

Intégré à notre outil Reveelium

Reveelium est une technologie SIEM UEBA d’analyse comportementale permettant de détecter les cybermenaces connues et inconnues : APT (Advanced Persistent Threat), malwares inconnus, virus, leaks, vols de données, comportements anormaux au sein des systèmes d’information et de remonter les traces de la cyberattaque.

Mêlant IA, Threat Hunting, Threat Intelligence et SOAR, Reveelium permet de capitaliser sur les événements qui peuvent menacer le système d’information et anticiper les menaces.

Exemple concret : la génération, la personnalisation et l’envoi des alertes que vous recevez par email après la détection d’un flux ou trafic malveillant

  1. Détection de l’activité malveillante

Les flux malveillants sont identifiés grâce à des outils de sécurité tels qu’un SIEM, un IDS/IPS, ou un pare-feu. L’alerte générée par l’outil de sécurité est transmise à la plateforme SOAR.

  1. Analyse et enrichissement des données

Le SOAR récupère des informations pertinentes sur l’alerte : source du trafic, adresse IP, domaine malveillant, utilisateur ou endpoint concerné…

Le SOAR interroge des bases Threat Intelligence pour ajouter des détails, tels que la réputation du domaine ou des informations sur les logiciels malveillants associés.

  1. Déclenchement du workflow automatisé

Un workflow prédéfini dans le SOAR est déclenché automatiquement lorsqu’une alerte est reçue.

  1. Génération et personnalisation de l’e-mail

Un modèle d’e-mail a été préalablement créé dans le SOAR. Il est enrichi avec des variables dynamiques pour personnaliser le message (détails sur l’incident, actions curatives recommandées…).

  1. Envoi de l’e-mail

Le SOAR identifie automatiquement les destinataires pertinents en fonction de règles définies. Ici, l’e-mail sera envoyé au client Freebox Pro.

Bénéfices de l’utilisation du SOAR pour ce processus

  • Réduction des délais : L’alerte est générée et transmise en temps réel, permettant une réponse rapide.
  • Cohérence : Les e-mails bénéficient d’un format standardisé, assurant une communication claire et unifiée.
  • Automatisation des tâches : Réduction des interventions humaines pour traiter et envoyer les alertes : quelques minutes avec le SOAR contre 90 minutes auparavant !
  • Personnalisation : Les données contextuelles ajoutées permettent la personnalisation de l’alerte.