Secdo ajoute l’automatisation de la remédiation aux Mac

Secdo vient d’annoncer le support macOS pour sa plateforme de détection d’incidents et de remédiation sur les postes de travail. Comme sous Windows et Linux, la plateforme de Secdo s’appuie là sur un agent à déployer localement. L’éditeur revendique une parité fonctionnelle complète entre chacun des trois environnements.

Secod a présenté à l’automne la version 5.0 de sa solution d’automatisation de la sécurité des postes de travail. Celle-ci présentait une nouveauté majeure : l’intégration d’indicateurs de compromission comportementaux.

Secdo ambitionne d’aider entreprises et fournisseurs de services de sécurité managés à gérer leurs processus de sécurité opérationnelle, au-delà de l’EDR. Pour cela, l’éditeur se propose d’automatiser de bout en bout le cycle de réponse à incident : « depuis la collecte des indicateurs à la réponse en passant par toutes les phases d’enquête ». Mais cela de manière intégrée, et sans passer par des outils tiers comme des plateformes d’orchestration et d’automatisation.

Et cela commence par le suivi en continu de ce qui se passe sur les points de terminaison, pour automatiser l’investigation, à raison d’environ 5 Mo de données de télémétrie quotidiennes, par hôte surveillée. Ces événements comportementaux de base nécessaires à l’enquête sont stockés avec 100 jours d’historique.

Mais Secdo n’exclut pas pour autant les sources externes d’informations sur les événements de sécurité comme les SIEM, les pare-feu ou les anti-virus : la solutions dispose de connecteurs pour plusieurs éditeurs, avec une communication bi-directionnelle. De quoi assurer corrélation entre les événements et aider à établir la chaîne de causalité. Pour celle-ci, Secdo propose un moteur analytique dédié.

Et l’ensemble est complété par un centre de réponse, supportant plus d’une centaine de fonctionnalités de réaction/remédiation/confinement. Là, des plans de réaction peuvent être définis et personnalisés pour chacun des indicateurs de compromission comportementaux. De quoi bloquer des menaces sur la base de comportements suspects, avant même que des marqueurs plus spécifiques, comme des signatures, ne soient connus ou établis.