La solution Nucleon XDR permet de déclencher des actions automatiques ou manuelles via les Response Services et les Response Actions. La suspension de compte peut être mise en œuvre en ajoutant une Custom Action, soit en se connectant directement via API, soit via une solution tierce telle qu’un système IAM ou une plateforme SOAR.
La plateforme offre la possibilité de configurer et d’exécuter diverses actions, incluant l’isolation d’un endpoint, le blocage d’adresses IP, l’arrêt de processus et la création d’alertes dans des systèmes externes.
Exemple pratique de création d’une action :
Sélectionnez « Nouvelle action » pour configurer une tâche, la lier à un service de réponse et spécifier ce qu’elle fait (par exemple, isoler un hôte). Enregistrez pour l’activer en vue d’alertes futures.
Parmi les principaux types d’actions disponibles :
- Isolement d’un hôte : isoler un poste compromis pour limiter la propagation de la menace.
- Blocage d’IP : bloquer des adresses IP identifiées comme malveillantes.
- Terminaison de processus : arrêter des processus suspects ou malveillants.
- Création d’alertes : générer des alertes dans des systèmes externes tels que TheHive ou un SIEM.
- Actions personnalisées : exécuter toute action HTTP supportée par le service externe pour répondre à des besoins spécifiques.
Conseils pour sécuriser et automatiser vos actions :
- Après avoir configuré un service, testez toujours la connectivité avant de l’utiliser.
- Mettez régulièrement les services à jour pour actualiser l’authentification et les paramètres de domaine.
- Utilisez la page des Actions pour personnaliser les réponses et améliorer la gestion des alertes.
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article