Sommaire
Introduction
Le Query Builder a été conçu pour simplifier l’exploration des données et améliorer les capacités de détection des menaces. Cette fonctionnalité permet aux équipes des Centres Opérationnels de Sécurité (SOC) d’explorer leurs données via une interface intuitive, facilitant les requêtes structurées et l’agrégation pertinente des données pour le threat hunting, l’analyse, la configuration de règles, et bien plus encore.
Qu’est-ce que le Query Builder ?
Le Query Builder est conçu pour ceux qui recherchent une approche simplifiée pour interroger les données, sans nécessiter une expertise dans des langages de requête structurés tels que le SQL. Avec un formulaire facile à utiliser, le Query Builder permet l’extraction d’informations essentielles qui aident à la détection des menaces, à l’analyse et à la personnalisation des tableaux de bord, pour une vision complète des opérations de sécurité.
Préparer l’avenir avec le Query Builder
Le Query Builder n’est pas seulement une fonctionnalité autonome ; il sert de base à une variété d’outils et d’améliorations à venir au sein de la plateforme SOC Sekoia. L’un des développements les plus importants sera la création de tableaux de bord personnalisés, offrant aux utilisateurs la possibilité de créer des vues personnalisées pour piloter leurs équipes de sécurité, mettre en valeur leurs performances et mieux comprendre leurs opérations.
Comment tirer parti du Query Builder ?
Plusieurs cas d’utilisation clés pour les équipes SOC illustrent la flexibilité du Query Builder :
1. Extraction de données analytiques clés
Pour les responsables de SOC à la recherche d’informations basées sur les données, le Query Builder facilite l’extraction de données analytiques cruciales pour faciliter les processus de prise de décision. Par exemple, extraire la liste des hôtes défendus au cours des 30 derniers jours permet une meilleure évaluation des coûts et un meilleur contrôle du périmètre.
« Je veux lister tous les noms d’hôtes surveillés au cours des 30 derniers jours pour évaluer nos coûts de détection/périmètre. »
2. Threat Hunting simplifié
Les analystes SOC peuvent tirer parti du Query Builder pour parcourir de grandes quantités de journaux et dévoiler des schémas anormaux. Il permet la détection de comportements d’utilisateurs irréguliers dans un laps de temps spécifié, rendant l’investigation des menaces plus efficace et pertinente.
« Je veux surveiller les connexions d’utilisateur au cours des dernières 24 heures et rechercher des comportements inhabituels. Ensuite, je veux lister les événements pour un nom d’utilisateur suspect. »
3. Ajustement des règles de détection pour réduire les faux positifs
La création de règles de détection efficaces est essentielle pour les analystes SOC. En utilisant le Query Builder pour créer des listes d’applications autorisées par hôte, les alertes de faux positifs peuvent être considérablement réduites, améliorant les chances de détecter des menaces potentielles.
« Je veux lister les applications par hôte utilisées au cours des 7 derniers jours. Ensuite, je vais enregistrer une liste blanche d’applications dans la règle de détection. »
Pour commencer
Pour ceux qui souhaitent explorer les capacités du Query Builder, disponible en beta publique, nous vous invitons à visionner notre démo interactive ci-dessous ou dans un nouvel onglet, pour voir comment agréger des événements avec le Query Builder. Découvrez la facilité d’extraction d’informations et d’exploration des données via notre interface conviviale.
Le Query Builder de la plateforme SOC Sekoia représente une avancée significative dans l’amélioration de la détection des menaces, de l’analyse des données et de l’efficacité globale des équipes SOC. Consultez notre documentation pour commencer à explorer vos données avec le Query Builder et n’hésitez pas à nous faire part de vos commentaires.