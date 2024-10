SentinelOne® présente une série d’innovations conçues pour concrétiser sa vision du SOC

octobre 2024 par Marc Jacob

Ces nouvelles innovations permettent de définir des nouveaux standards en termes d’IA, d’automatisation et de data pour faire du SOC autonome une réalité :

Singularity Hyperautomation - Automatisation sans code des workflows de sécurité.

Singularity AI SIEM - Intégration et aggrégation de toutes les données issues de l’écosystème de sécurité.

Purple AI - Automatisation du tri, de la recherche et de l’investigation sur les alertes.

Ultraviolet : groupe de modèles de sécurité - Modèles de langage étendu (LLM) et modèles multimodaux conçus pour des cas d’utilisation de l’IA en cybersécurité.

Singularity Hyperautomation - automatisation sans code des workflows de sécurité

Singularity Hyperautomation est une nouvelle solution d’automatisation intelligente conçue pour répondre aux exigences des entreprises en matière de SOC. Elle leur permet de bénéficier de plus de 100 intégrations et de dizaines de workflows prêts à l’emploi conçus pour répondre à des cybermenaces telles que la réduction des ransomwares, la surveillance de la conformité des actifs, la réponse aux activités suspectes d’utilisateurs et aux menaces internes. Singularity Hyperautomation propose un dispositif simple, sans code, e, mode drag and drop, pour construire des workflows personnalisés et automatiser des tâches, ainsi qu’un accès à n’importe quelle API afin d’exploiter des données provenant de toute source de sécurité ou IT.

Inclus dans la plateforme SentinelOne, Singularity Hyperautomation s’intègre en toute transparence dans les workflows des analystes, et suggère, de manière intelligente, des automatisations lors des investigation. Elle s’appuie également sur la plateforme et sur Purple AI pour générer automatiquement des playbooks basés sur des informations fournies par l’écosystème, qui permettent aux équipes de réagir plus rapidement et plus efficacement. Grâce à l’intégration native avec les solutions SIEM endpoint, cloud, identité et AI de Singularity, les équipes de sécurité peuvent automatiser la remédiation des menaces à travers de multiples surfaces d’attaque, mais également exploiter toutes les données first-party et third-party dans Singularity pour répondre rapidement aux incidents avec plus de contexte et moins de complexité.

Singularity AI SIEM - intégration et synthèse de toutes les données issues de l’écosystème de sécurité

Singularity AI SIEM (Security Information and Event Management) est un SIEM non indexé et cloud-native qui utilise l’IA et les capacités d’automatisation pour repenser la façon dont les analystes SOC travaillent. Alimenté par le datalake puissamment évolutif de Singularity avec un stockage à chaud, AI SIEM fournit une détection en temps réel sur les données, tout en accélérant considérablement l’investigation et la réponse.

Singularity AI SIEM est basé sur un écosystème ouvert capable d’intégrer des données structurées et non structurées provenant des solutions de sécurité endpoint, cloud et identités de SentinelOne, mais aussi de solutions tierces en exploitant l’Open Cybersecurity Schema Framework (OCSF) et des intégrations prêtes à l’emploi. Les clients bénéficient ainsi d’une visibilité instantanée et étendue sur l’ensemble de l’environnement de l’entreprise et peuvent automatiser les workflows entre plusieurs outils.

Enfin, grâce à AI SIEM et Purple AI, les analystes sécurité peuvent exploiter les capacités autonomes de SentinelOne, pour des détections en temps réel, une chasse et des investigations assistées par l’IA générative et une protection à la vitesse de la machine contre les menaces émergentes.

SentinelOne Purple AI – automatisation du tri, de la recherche et de l’investigation sur les alertes

Depuis son lancement, l’analyste de sécurité Purple AI de SentinelOne a établi la norme en matière d’IA générative dans la cybersécurité. Intégré à tous les niveaux de Singularity Platform, Purple AI traduit les questions de sécurité en langage naturel en requêtes structurées, synthétise les logs et les indicateurs, guide les analystes de tous niveaux dans des investigations complexes et retrace les événements dans des notebooks d’investigation. Désormais, SentinelOne place la barre encore plus haut en matière d’IA générative grâce aux nouvelles fonctionnalités de Purple AI conçues pour automatiser rapidement les investigations, réduire la « fatigue d’alertes » et garder une longueur d’avance sur les attaques. La nouvelle fonctionnalité Purple AI Auto-Alert Triage donne la priorité aux alertes les plus importantes et aide à déterminer rapidement celles qui nécessitent une investigation plus approfondie. Auto-Alert Triage évalue des milliers d’alertes similaires anonymisées afin de mieux déterminer les vrais positifs, et fait apparaître des " alertes à examiner " classées par ordre d’importance afin de réduire la fatigue et de permettre aux équipes de sécurité de se concentrer sur les tâches les plus critiques qui réduisent les risques. Purple AI peut désormais être utilisé pour lancer et exécuter des investigations autonomes afin d’accélérer les enquêtes et la réponse. Grâce à la nouvelle fonctionnalité d’investigation autonome de Purple AI, l’intelligence artificielle prend en charge les alertes prioritaires, compile automatiquement une liste d’étapes d’investigation basées sur l’alerte en question, exécute ces étapes de manière indépendante et fait des recommandations sur les décisions à prendre. Les preuves recueillies au cours de l’enquête sont sauvegardées dans un notebook Purple AI partagé et auditable afin de réduire considérablement les délais d’investigation et de reporting, tout en donnant aux équipes SOC et aux intervenants sur incidents l’avantage de la rapidité et de l’évolutivité lors du traitement des menaces critiques.

Présentation de la famille de modèles de sécurité Ultraviolet de SentinelOne

Au cours des trois dernières années, le coût des grands modèles multimodaux à usage général a été considérablement réduit, tandis que la capacité de ces modèles a augmenté de manière significative. Pour les applications d’IA générative liées à la cybersécurité, ces modèles, associés à une connaissance approfondie du domaine, se sont révélés être la meilleure approche pour créer des expériences d’assistant véritablement utiles dans le domaine de la sécurité. Toutefois, il reste des domaines de l’IA liée à la cybersécurité où les modèles propriétaires auront des avantages décisifs.

Ainsi, SentinelOne dévoile Ultraviolet, une gamme de LLMs de sécurité et de modèles multimodaux, qui répondent à des cas d’utilisation spécifiques en matière de sécurité et supportent mieux les workflows autonomes nécessaires pour réduire significativement la charge opérationnelle.

Ultraviolet complétera les meilleurs modèles, en se concentrant notamment sur l’amélioration de l’efficacité de la détection, la prise en compte d’un plus grand nombre de contextes en temps réel, l’amélioration de l’efficacité du raisonnement sur les problèmes de sécurité, pour permettre une plus grande autonomie et des modèles mieux configurés qui restent concentrés sur la tâche et nécessitent beaucoup moins de marqueurs pour aboutir à des conclusions utiles.