1) Scénarios obligatoires : suspension/désactivation de comptes collaboratifs.
Nucleon XDR permet la mise en œuvre de scénarios de réponse automatique conditionnelle sur les suites collaboratives, incluant la suspension / désactivation de comptes utilisateurs en cas de détection d’activité suspecte ou de compromission (ex. connexions anormales, échecs répétés, comportement à risque, exfiltration).
Ces actions sont déclenchées automatiquement via des règles de détection/corrélation et exécutées au travers des intégrations API (Response Services / Response Actions), sans intervention humaine, afin de contenir immédiatement l’incident.
La solution assure une traçabilité complète de bout en bout, incluant : la règle déclenchante, l’utilisateur ciblé, l’horodatage, l’action exécutée, ainsi que le résultat (succès/échec) et les éléments justificatifs associés, garantissant un suivi exploitable en audit et en dossier d’incident.
2) Actions de remédiation sur endpoints : isolation réseau, arrêt, processus, quarantaine et rollback
Nucleon XDR, en s’appuyant sur les capacités Nucleon EDR et/ou sur des intégrations tierces (EDR/SOAR/ITSM via API), permet d’exécuter des actions de réponse endpoint couvrant les scénarios attendus, notamment :
- Isolation réseau d’un poste compromis afin de contenir la propagation,
- Arrêt contrôlé et actions de confinement sur l’hôte,
- Kill process (arrêt ciblé d’un processus malveillant),
- Quarantaine de fichiers identifiés comme malveillants,
- Restauration / rollback selon les capacités de l’EDR intégré et la stratégie de remédiation retenue.
Ces actions peuvent être déclenchées manuellement depuis la console (à partir d’une alerte) ou automatiquement via des règles de détection/corrélation, afin de réduire le temps de réaction et limiter l’impact.
3) Journalisation des actions et résultats
La solution assure un journal d’exécution des réponses (action lancée, cible, horodatage, opérateur ou règle déclenchante, statut et résultat succès/échec), garantissant une traçabilité complète exploitable en exploitation SOC et en audit.
En complément, Nucleon EDR apporte des capacités d’investigation avancées permettant d’enrichir la réponse, notamment la collecte temps réel de télémétrie, la réalisation de dumps mémoire à distance pour les analyses forensic, ainsi que la collecte d’artefacts liés aux binaires exécutés (signature, horodatage, paramètres de lancement, droits, etc.), facilitant l’analyse post-incident et la remédiation.
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article