Si vous utilisez déjà Enquêteur de point de terminaison OpenText™vous connaissez probablement ses puissantes capacités d’investigation numérique. En tant que pionnier de la collecte de données sur les points de terminaison, il est reconnu depuis longtemps pour découvrir les menaces cachées, rassembler des preuves admissibles devant les tribunaux et soutenir les enquêtes dans les entreprises et les agences gouvernementales, à la fois sur VPN et hors VPN. Cependant, ce que vous ne savez peut-être pas, c’est qu’avec la version 25.3, cette puissance s’est considérablement étendue et votre investissement existant est devenu une rampe de lancement pour une réponse intégrée aux incidents.
D’EnCase à OpenText : une plateforme réinventée
Anciennement connu sous le nom Enfermer Endpoint Investigator, la solution a désormais été entièrement rebaptisée OpenText Endpoint Investigator. Mais ce n’est pas seulement un changement de nom : cela reflète une évolution stratégique dans le domaine d’OpenText. cybersécurité portefeuille. Le moteur EnCase auquel vous faites confiance depuis des décennies est toujours au cœur de notre portefeuille DFIR, mais il fait désormais partie d’une plate-forme plus large et plus innovante conçue pour apporter à la fois des améliorations significatives aux capacités d’investigation orensique numérique ainsi qu’une réponse aux incidents en temps quasi réel.
Avec la version 25.3, Enquêteur de point de terminaison OpenText a introduit une série de mises à niveau qui rationalisent les flux de travail d’enquête et modernisent l’expérience utilisateur. Ceux-ci incluent :
- Adapte les enquêtes à >1 000 000 de points de terminaison pour les environnements d’entreprise à grande échelle, y compris les points de terminaison hors entreprise
- Vue centralisée de tous les agents de point de terminaison, de l’état des communications et de l’historique des tâches avec un tableau de bord de visibilité des points de terminaison
- Un moderne interface basée sur le Web pour une navigation plus rapide et une collaboration à distance
- Collectes accélérées utiliser la récupération de preuves fragmentées pour une imagerie médico-légale plus rapide
- Amélioré visualisations de la chronologie et intelligence instantanée pour un aperçu plus approfondi du comportement des points de terminaison
- Intelligent flux de travail basés sur des artefactspour aider à prioriser les artefacts pour un tri rapide
- Alignement des politiques de confiance zéroavec collecte hors VPN et accès à distance
- Collaboration multi-utilisateurs pour les enquêtes partagées et les flux de travail parallèles
- Déploiement automatisé des agents et Intégration API pour les outils SIEM, SOAR et EDR
Ensemble, ces mises à jour rendent OpenText Endpoint Investigator plus rapide, plus évolutif et mieux adapté aux effectifs distribués et hybrides. Mais en fin de compte, OpenText Endpoint Investigator n’est que la partie « DF » de DFIR. Ajout de la réponse aux incidents (IR) à criminalistique numérique (DF) est essentiel pour obtenir une fonctionnalité DFIR complète, car il permet aux équipes de sécurité non seulement de comprendre ce qui s’est passé, mais aussi de prendre des mesures immédiates et coordonnées pour contenir et remédier aux menaces, comblant ainsi l’écart entre la compréhension et la réponse.
Bienvenue à la prochaine génération de DFIR: Analyse légale et réponse des points de terminaison OpenText™
La plate-forme de nouvelle génération sur laquelle OpenText Endpoint Investigator 25.3 est construit constitue la base de Analyse légale et réponse des points de terminaison OpenTextcombinant la meilleure profondeur médico-légale de sa catégorie avec des capacités de confinement en direct, de remédiation et de réponse automatisée. C’est toujours la puissante technologie EnCase sous le capot, mais désormais, avec la portée, la vitesse et l’intégration dont les équipes SOC ont besoin pour garder une longueur d’avance sur les menaces actuelles.
Dans le passé, de nombreuses organisations devaient jongler avec plusieurs outils pour mener une enquête complète : un pour la collecte de preuves, un autre pour l’analyse médico-légale et encore un autre pour le confinement ou la remédiation. Cette prolifération d’outils a créé des retards, une complexité accrue et des risques élevés.
Le paysage actuel des menaces est plus rapide, plus furtif et plus complexe que jamais. Les outils de sécurité traditionnels négligent souvent les mouvements latéraux, les abus d’identifiants et les menaces internes jusqu’à ce qu’il soit trop tard. Les équipes SOC ont besoin de plus qu’une analyse rétrospective ; ils ont besoin de pouvoir agir en temps réel.
Analyse légale et réponse des points de terminaison OpenText offre exactement cela. Cela nécessite les bases médico-légales que vous connaissez déjà et auxquelles vous faites confiance, ainsi que des couches de capacités de réponse aux incidents telles que :
- Isolation des points de terminaison en temps quasi réel
- Correction de fichiers et de processus
- Interrogation et modification de la clé de registre
- Analyse IoC à la demande et correspondance des règles YARA
Et le meilleur ? Tout cela est réalisé sur la même plateforme intuitive et évolutive.
Avec OpenText Endpoint Forensics & Response, les silos disparaissent. Les enquêteurs médico-légaux et les intervenants en cas d’incident travaillent dans un environnement unifié où ils peuvent :
- Collecter des artefacts, trier les activités suspectes et analyser le comportement des utilisateurs
- Isoler les hôtes compromis sans les retirer de l’enquête
- Mettre fin aux processus malveillants ou supprimez les fichiers nuisibles lors d’une enquête en direct
- Répondre aux menaces en temps quasi réel, sans attendre les images de disque complètes ni changer de plateforme
Cela signifie un confinement plus rapide, un temps d’arrêt réduit et de meilleurs résultats pour votre équipe de sécurité.
Exemples de cas d’utilisation concrets
Voici comment les organisations pourraient tirer parti de la capacité d’enquête médico-légale numérique fournie par OpenText Endpoint Investigator et la combiner avec la fonctionnalité de réponse aux incidents associée à OpenText Endpoint Forensics & Response :
Confinement des ransomwares : supposons qu’un acteur malveillant ait lancé une variante de ransomware contre un prestataire de soins de santé régional et que ce prestataire utilise OpenText Endpoint Investigator pour identifier le point initial d’infection. Avec OpenText Forensics & Response activé, ils peuvent isoler les systèmes concernés, mettre fin aux processus de chiffrement et lancer la récupération, le tout sans changer d’outil ni impliquer de logiciel tiers.
Détection des menaces internes : que se passerait-il si une entreprise manufacturière mondiale était confrontée à des vols répétés de propriété intellectuelle provenant de sources internes ? Grâce aux fonctionnalités de chronologie et d’artefact d’OpenText Endpoint Investigator, l’équipe SOC a pu identifier les modèles d’accès suspects. Cependant, en implémentant OpenText Endpoint Forensics & Response, ils seraient également en mesure d’interroger à distance les clés de registre, de confirmer la présence d’outils malveillants et d’isoler silencieusement la machine de l’utilisateur pour une analyse plus approfondie.
Abus d’identifiants cloud : si une organisation de services financiers détectait un comportement de connexion inhabituel, elle pourrait utiliser la fonctionnalité d’analyse IoC dans OpenText Endpoint Forensics & Response pour détecter les attaques d’identifiants sur plusieurs points de terminaison. En combinant les capacités de collecte de preuves dont ils disposaient déjà avec OpenText Endpoint Investigator avec un tri et une réponse rapides, ils seraient en mesure d’arrêter l’attaque avant que les données sensibles ne soient exfiltrées.
Que se passe-t-il si j’ai déjà OpenText Endpoint Investigator ?
Si vous utilisez déjà OpenText Endpoint Investigator, vous êtes en bonne position pour améliorer vos capacités DFIR. OpenText propose un essai gratuit de 45 jours d’OpenText Endpoint Forensics & Response qui s’appuie sur votre déploiement actuel avec une simple licence complémentaire. La meilleure partie est qu’il n’est pas nécessaire de supprimer et de remplacer votre pile technologique actuelle pour obtenir la fonctionnalité de réponse aux incidents associée à OpenText Endpoint Forensics & Response. Vous pouvez activer des fonctionnalités de réponse aux incidents telles que l’isolation des points de terminaison en temps réel, la correction des processus et l’analyse IoC au sein de la même interface et de la même architecture que vous utilisez déjà. Juste contacter un représentant de compte OpenText DFIR pour savoir comment activer l’essai et explorer comment vos flux de travail médico-légaux existants peuvent évoluer vers une criminalistique numérique à spectre complet et une réponse aux incidents.
Vous utilisez un autre outil ? Pourquoi il est temps d’envisager OpenText
Pour les organisations utilisant une autre solution d’investigation numérique, la transition vers OpenText Endpoint Forensics & Response constitue une mise à niveau stratégique qui consolide les enquêtes et les réponses sur une plateforme unique et unifiée. Achetez simplement la licence OpenText Endpoint Forensics & Response et vous bénéficiez dès le départ de capacités d’investigation numérique et de réponse aux incidents. Juste Contactez-nous ici et découvrez comment vous pouvez profiter d’économies importantes en adoptant la plateforme OpenText DFIR.
Réflexions finales
La frontière entre la criminalistique numérique et la réponse aux incidents est floue, et pour cause. Les menaces n’attendent pas d’être analysées et votre équipe ne devrait pas avoir à attendre pour réagir.
Avec Analyse légale et réponse des points de terminaison OpenText, la plateforme à laquelle vous faites confiance pour la profondeur de vos investigations vous permet désormais d’agir avec agilité en matière de réponse aux incidents et de fournir la valeur ultime. La plate-forme anciennement connue sous le nom d’EnCase peut apporter de nouvelles vitesses, visibilité, facilité d’utilisation et contrôle, mais ce n’est que le début.
Si vous êtes prêt à aller au-delà de l’enquête et à commencer à réagir avant que les dégâts ne soient causés, le moment est venu d’examiner de plus près OpenText Endpoint Forensics & Response et d’apporter encore plus de valeur à votre SOC.
Le poste Ce que vous ne saviez pas que votre OpenText Endpoint Investigator (EnCase) pouvait faire est apparu en premier sur Blogues OpenText.
Source link