DEUXIÈME PARTIE : Threat Stack publie un nouveau contexte d'alerte pour un MTTK réduit
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .
Comme indiqué dans la première partie de cette série, Threat Stack s'engage à apporter des modifications significatives à son interface utilisateur (UI), y compris le contexte des alertes, afin de réduire davantage les indicateurs de sécurité clés tels que le temps moyen de connaissance (MTTK). Ceci est important car chaque minute, voire chaque seconde, compte lorsqu’il s’agit d’identifier les risques potentiels pour la sécurité. Pourtant, selon IBM , le temps moyen nécessaire pour identifier une violation en 2020 était de 207 jours. Pour éviter que nos clients ne tombent dans cette statistique surprenante, nous avons apporté de nouvelles modifications fondamentales à notre interface utilisateur pour une expérience améliorée afin de fournir une sécurité plus précise, réduisant ainsi le MTTK. Explorons.
Présentation du contexte d'alerte
Lorsqu'un client est informé d'une nouvelle alerte et démarre le flux de travail de tri et de réponse, Threat Stack Cloud Security Platform® peut regrouper les alertes par indicateurs communs tels que la conformité et le processus, puis crée des visualisations telles que des cartes thermiques et des graphiques de tendance pour fournir un aperçu des tendances des alertes sur la fréquence et le volume. De plus, les événements contributifs sont corrélés aux alertes pour fournir une piste d’activité pour guider les enquêtes.
Grâce aux commentaires des utilisateurs de Threat Stack, nous avons reconnu que les questions courantes découlent souvent de la navigation dans le tri des alertes et les enquêtes. Nous avons donc ajouté une nouvelle fonctionnalité de contexte d’alerte qui standardise ces questions fréquemment posées et fournit des réponses proactives par défaut à nos utilisateurs. Le contexte d’alerte permet de guider rapidement et avec précision les enquêtes de nos utilisateurs sur les alertes de gravité élevée.
Nouvelles fonctions de contexte d'alerte : Faits saillants, visualisations et tableaux
Pour nous adapter à notre nouveau contexte d’alerte, nous avons dû repenser la manière d’afficher nos riches données d’alerte. Nous avons reconnu que la vue actuelle devait être élargie pour faire de la place à notre nouvelle fonctionnalité qui présentait les occurrences d'événements pour différents types d'activités, comme les mises en évidence des alertes, les nouvelles visualisations et les tableaux. En conséquence, nous sommes passés de l’affichage des alertes dans une vue de tiroir horizontale à une vue de tiroir verticale plus spacieuse et plus moderne, permettant aux utilisateurs de visualiser les détails pertinents des alertes tout en visualisant également le tableau des alertes de haut niveau.
L’une des nouvelles fonctions que nous pouvons ajouter grâce à l’espace supplémentaire est la mise en évidence des alertes. Cette nouvelle capacité peut compléter le contexte ponctuel avec un résumé de l’activité historique liée à l’alerte. Cela fournira à nos utilisateurs un contexte sur l'infrastructure, les utilisateurs et l'activité des processus, offrant des conseils cruciaux lors des enquêtes de sécurité au cours du mois dernier.
Par exemple, au lieu de parcourir une multitude d’événements liés à l’activité d’un utilisateur spécifique, Threat Stack fournit un résumé de l’alerte elle-même, tel que le suivant :
Exemple de mise en évidence d'une alerte utilisateur spécifique sur la plateforme de sécurité cloud Threat Stack
Des points forts apparaissent également au-dessus de nos visualisations pour résumer l’activité liée au comportement de l’utilisateur, de l’agent ou du processus dans un format lisible par l’homme. Par exemple, ce qui suit apparaîtrait au-dessus d’une visualisation d’histogramme montrant l’activité d’un utilisateur spécifique :
Exemple de résumé du comportement d'un seul utilisateur sur la plateforme de sécurité cloud Threat Stack
Nous avons également introduit une vue d’alertes sur une seule page, qui fournit aux utilisateurs des visualisations telles qu’un histogramme pouvant afficher l’activité des utilisateurs au cours des 30 derniers jours. L'histogramme est interactif, permettant aux utilisateurs de zoomer et d'étudier l'activité à des dates intéressantes. La vue des alertes sur une seule page est également dotée de liens profonds et peut être exportée au format PDF, ce qui facilite le partage des alertes intéressantes, y compris le contexte de l'alerte, au sein de l'organisation ou avec les auditeurs.
Exemple d'une page d'alerte à volet unique avec des exemples de données sur la plateforme de sécurité cloud Threat Stack
Notre engagement envers l'innovation en matière d'interface utilisateur
Nous permettons aux clients de naviguer et de gérer leurs alertes de manière transparente grâce à la multitude de modifications récemment apportées à l'interface utilisateur de Threat Stack. Notre objectif est de réduire le MTTK en fournissant plus de contexte afin que les utilisateurs puissent trier et enquêter rapidement sur les alertes sur notre plateforme. Ces mises à jour ne sont que le début de notre itération de conception pour les alertes Threat Stack.
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .