Investiguer les menaces réseau pour y répondre

OT Security utilise plusieurs moteur de détection – anomalies comportementales, détection basée sur les signatures (Suricata) et règles basées sur des politiques – pour identifier le trafic typique des cyber-attaques.

Objectif

Détecter et investiguer les activités réseau suspectes, telles que les scans non autorisés, la propagation de malware ou les anomalies de protocole, afin d'éviter toute perturbation des opérations.

Conditions préalables

Vous devez disposer des autorisations requises pour afficher les événements.

Vous devez configurer ce qui suit :

• Configurez la surveillance du réseau. Voir Monitored Networks.

• Activez les politiques de détection. Voir Activer ou désactiver des politiques.

• (Facultatif) Activez la capture PCAP pour l'analyse forensique. Voir Télécharger des fichiers de capture individuels.

Étape 1 : Surveiller les alertes d'événements

1. Connectez-vous à OT Security.

2. Dans le volet de navigation de gauche, cliquez sur Événements.

3. Sélectionnez Menaces réseau ou Événements réseau pour afficher les alertes liées aux tentatives d'intrusion ou aux anomalies du trafic.

   

4. Triez les événements par sévérité (élevée ou critique) afin de mettre en évidence les menaces immédiates.

Étape 2 : Analyser les données de conversation

1. Sélectionnez un événement particulier pour afficher le volet Détails de l'événement.

2. Identifiez les assets sources et cibles impliqués dans l'activité suspecte.

   

3. Accédez à la page Réseau > Conversations pour afficher les flux de trafic spécifiques entre ces assets.

   

4. Si elle est disponible, utilisez la vue Captures de paquets (PCAP) pour analyser les données de trafic brutes et obtenir des preuves forensique. Voir Télécharger des fichiers de capture individuels.

Étape 3 : Lancer la réponse

• Examinez la limitation suggérée dans la section Détails de l'événement et prenez des mesures (isolez l'asset compromis, par exemple).

• Si l'événement s'avère être un faux positif, modifiez la configuration de la politique pour affiner la détection et réduire le bruit. Voir Politiques.

• Dans Détections > Violations de politique, marquez l'événement comme résolu pour l'effacer de la file d'attente active. Voir Violations de politique.

Résultat

Vous pouvez identifier rapidement le « qui, quoi, où et quand » d'un incident de sécurité et ainsi minimiser le temps moyen de réponse (MTTR).