Page d'accueil

Threat Detection & Response à la HEIG-VD avec Cortex XDR + XSOAR

Le service informatique de la HEIG-VD a le désir d'améliorer son infrastructure pour mieux se prémunir des menaces de sécurité avec une détection intelligente et une réponse adaptée. Cortex XDR et XSOAR sont des solutions de sécurité développées par la société Palo Alto Networks.

Cortex XDR est le cerveau de cette infrastructure. Situé dans le cloud, il collecte les logs de différentes sources de l'entreprise pour les corréler et détecter des menaces complexes grâce à de l'intelligence artificielle.

Cortex XSOAR est l'élément de réponse aux attaques situé dans le réseau de l'entreprise. Il reçoit les incidents créées par Cortex XDR, et exécute des réponses automatiques grâce à des playbooks .La HEIG-VD n'a pas le personnel pour mettre en place un SOC (Security Operation Center) avec des analystes présents en permanence pour réagir aux alertes. Ce projet avait donc pour objectifs de comprendre et proposer une configuration pour Cortex XDR, les agents installés sur certaines machines ainsi que la collecte de logs, notamment du Firewall et de l'Active Directory. Il était aussi question de mettre en place une réponse automatique aux incidents de sécurité avec Cortex XSOAR telle que :

• Envoi d'emails avec formulaire de réponse à l'utilisateur ;
  
• Envoi d'emails aux responsables pour la revue d'incident ;
  
• Blocage d'IPs dans le pare-feu ;
  
• Isolation de machines via l'agent XDR ;
  
• Mise en quarantaine de l'IP sur le réseau via le serveur Radius.

La partie réponse automatique selon les scénarios proposés est parfaitement fonctionnelle. Les communications avec les ressources externes telles que le pare-feu ou le serveur Radius fonctionnent bien. Les difficultés pour une mise en place en production sont le tris des incidents dans le workflow des playbooks selon des critères spécifiques pour éliminer les faux positifs ainsi que la gestion des cas limites qui suivraient le chemin d'une remédiation non voulue.