L’équipe R&D en IA de TEHTRIS a développé un module basé sur l’Intelligence Artificielle appelé Cyberia eGuardian. L’objectif de ce module est d’aider les analystes SOC à contrôler la sécurité informatique directement à partir de la XDR Platform et à gagner du temps. Cyberia eGuardian vous offre une surveillance à 360°, 24/24 – 7/7, des événements de sécurité de vos endpoints et les prétraite intégralement, en priorisant, regroupant et mettant en évidence les incidents de sécurité pour les analystes SOC.
Cyberia eGuardian propose une analyse avancée des alertes et événements de TEHTRIS EDR Optimus grâce au Deep Learning. Cette analyse a vocation à être étendue à tous les produits de la XDR dans les prochaines versions. Elle consiste, d’une part, à qualifier chaque alerte et événement en « Haute priorité » ou « Basse priorité » et d' »Anomalie » ou non, et, d’autre part, à regrouper les alertes et événements par action, dans le temps à travers l’infrastructure informatique, et par exécution, ou processus unitaire sur une machine.
Priorisation des alertes et apprentissage continu de l’IA
Le modèle d’intelligence artificielle Cyberia eGuardian est entraîné à distinguer les alertes qui sont de haute priorité parmi toutes les alertes et d’événements de basse priorité.
L’attribution d’une priorité haute ou basse est basée sur un score de priorité déduit par l’IA qui va de 0% pour la probabilité la plus faible d’être une alerte dangereuse, à 100% pour la probabilité la plus forte d’être dangereuse.
Stratégie MSSP avec Cyberia eGuardian
Les prétraitements et priorisations par Cyberia eGuardian permettent aux analystes d’optimiser leur temps en identifiant automatiquement les événements de sécurité urgents et importants sur lesquels ils doivent se concentrer en priorité. TEHTRIS propose une stratégie MSSP personnalisable, qui consiste en une combinaison de la qualification de la sévérité, basée sur MITRE, et du score de priorité, basé sur l’IA, comme le montre la figure ci-dessous.
MSSP Analysis with Cyberia eGuardian
Priority and Severity complementarity
Cette stratégie permet d’identifier les événements de sécurité les plus prioritaires, évitant ainsi aux analystes des tâches de triage routinières fastidieuses, inintéressantes et à faible valeur ajoutée. L’analyse de Cyberia eGuardian trie automatiquement les alertes par priorité, réduisant à 0,1% le nombre d’alertes à analyser par l’analyste SOC, ce qui représente un gain de temps considérable pour l’équipe de sécurité opérationnelle.
Personnalisation de l’IA et apprentissage continu man-in-the-loop
Le modèle de base de l’intelligence artificielle s’adaptera automatiquement aux spécificités et aux préférences du client, quelques jours seulement après son déploiement, grâce à l’apprentissage continu du réseau neuronal. Cela permet au modèle d’intelligence artificielle de Cyberia eGuardian d’évoluer et d’apprendre en même temps que l’évolution de l’environnement client.
Cyberia eGuardian est basé sur un modèle de réseau neuronal profond supervisé. Cela signifie qu’il a besoin de données étiquetées pour apprendre. Les alertes sont automatiquement qualifiées de « Haute priorité » ou de « Basse priorité » grâce aux feedbacks des analystes SOC, soient-ils fait directement ou indirectement dans le cadre d’une approche d’apprentissage continu man-in-the-loop. Ce type d’approche permet aux experts en sécurité de contrôler cet outil de sécurité IA.
Regroupement et détection des anomalies
Il est bien connu qu’un grand nombre d’alertes et d’événements sont générés par des actions qui se produisent avec une certaine régularité.
Identifier rapidement des alertes nouvelles ou rares peut être un challenge. Afin de résoudre ce problème, Cyberia eGuardian enrichit et contextualise chaque alerte et événement avec Recurrence Insights.
La récurrence, ou le nombre d’alertes générées par la même action, est indiquée, ainsi que les dates de première et dernière observation, des statistiques sur la fréquence par heure de l’action et sa distribution sur les dernières 24 heures, et la liste des Endpointsoù l’action a été observée.
Cyberia eGuardian offre également la possibilité de regrouper automatiquement plusieurs alertes, sur la base de conditions prédéfinies, concernant le processus auquel elles sont associées. Cela signifie que toutes les alertes regroupées sont générées par la même exécution, Cyberia eGuardian donne alors une vue d’ensemble de toutes les informations sur le processus, recueillies par plusieurs modules EDR.
Détection des anomalies
Cyberia eGuardian propose une analyse de détection des anomalies. Cette détection d’anomalies est basée sur les prédictions de plusieurs modèles d’intelligence artificielle non supervisés, qui votent chacun pour la prédiction d’anomalie finale. L’objectif de cette fonctionnalité est de signaler les alertes inhabituelles en fonction de leur contenu. Les modèles de détection d’anomalies apprennent tous les jours afin de suivre l’évolution de la baseline des événements de sécurité des clients.
Grâce aux informations recueillies par les prédictions de l’IA, Cyberia eGuardian peut fournir un classement des machines et des utilisateurs à risque. Chaque événement de sécurité est enrichi du contexte de la machine et de l’utilisateur, sur la base des modèles de détection d’anomalies de Cyberia eGuardian.
Explication de l’IA et insights de sécurité
L’éthique et la confiance, principes au cœur de TEHTRIS, ont incité les équipes de R&D à développer des modèles d’IA éthiques et transparents. C’est pourquoi Cyberia eGuardian explique ses prédictions. Cette explication met en évidence les variables de l’événement de sécurité sur lesquelles l’algorithme d’IA a basé son choix.
L’explication des prédictions de Cyberia eGuardian est ce qui en fait non seulement un outil d’Intelligence Artificielle mais aussi une arme de défense d’Intelligence Augmentée, donnant aux experts les informations dont ils ont besoin pour prendre la décision finale.