Coup de projecteur sur nos partenaires : L’intégration de Threat Stack et de Squadcast rationalise les alertes avec un contexte plus large
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .
Il s'agit d'un article d'invité collaboratif entre Squadcast et Threat Stack
Il est courant que les professionnels de la sécurité soient inondés d’alertes, d’autant plus que les environnements cloud continuent d’évoluer à un rythme rapide. En fait, dans une récente enquête SecOps , 83 % des professionnels ont déclaré être aux prises avec la fatigue des alertes. Cependant, le contexte est roi, et avec les bons outils et intégrations, il est facile d'affiner vos alertes pour générer des informations plus intelligentes qui vous aident à prendre des décisions plus éclairées et à agir plus rapidement.
Chez Threat Stack, nous reconnaissons à quel point il est important de fournir les alertes les plus significatives aux professionnels de la cybersécurité qui s'efforcent de réduire les indicateurs clés de performance (KPI) clés tels que le MTTK (temps moyen de connaissance) et le MTTR (temps moyen de réponse). Grâce à des partenariats comme avec Squadcast , une plateforme de réponse aux incidents (IR), nous sommes en mesure de fournir aux utilisateurs de Squadcast les règles de pointe de Threat Stack, leur fournissant des informations puissantes tirées de la détection des risques en temps réel et des anomalies basées sur le ML avec un contexte enrichi. Nous travaillons également en partenariat avec des fournisseurs de cloud public de premier plan comme AWS pour nous intégrer de manière transparente à votre environnement cloud, supprimant ainsi les tracas liés au basculement entre différentes plates-formes.
Grâce à ces partenariats et intégrations entre Squadcast et Threat Stack, les clients peuvent regrouper leurs alertes en différents niveaux de gravité pour mieux comprendre les risques au sein de leur environnement.
Pourquoi l'observabilité Full Stack est importante
Toute personne familière avec l’infrastructure cloud comprendra la nécessité de surveiller ses systèmes pour identifier et répondre aux risques de près. Les systèmes sont des cibles de plus en plus disparates, complexes et lucratives pour les cybercriminels. Il est donc essentiel de disposer d’outils permettant de surveiller, d’identifier rapidement et de résoudre activement les problèmes.
Par exemple, une entreprise disposant d’une infrastructure sur AWS peut utiliser des outils natifs comme AWS CloudWatch à des fins de surveillance de base. Cependant, la surveillance de base ne suffit pas et les équipes de sécurité doivent exploiter des outils dédiés supplémentaires qui offrent une observabilité, c'est-à-dire des capacités avancées de surveillance et une meilleure visualisation des environnements.
Threat Stack permet une observabilité complète de la pile en collectant une télémétrie riche à partir des charges de travail cloud, y compris les couches d'infrastructure et application , permettant aux équipes de sécurité de découvrir rapidement les activités suspectes.
La surveillance avancée permet des alertes de sécurité riches en contexte
La résolution rapide des incidents de sécurité et de conformité est essentielle au succès des entreprises SaaS modernes d’aujourd’hui. Si un site Web ou un service est en panne, même pendant une minute, cela peut potentiellement entraîner une perte de revenus importante, nuire à la réputation de la marque et susciter la méfiance des clients.
C'est là qu'entre en jeu la combinaison de plateformes IR modernes telles que Squadcast et l'observabilité de Threat Stack. En cas d'incident, les événements détaillés de Threat Stack peuvent être acheminés vers les utilisateurs concernés via Squadcast.
Lorsque Threat Stack détecte un risque de sécurité et/ou une anomalie, il agit comme source d'alerte et l'envoie à Squadcast. En s'appuyant sur les meilleures pratiques d'ingénierie de fiabilité du site (SRE), Squadcast regroupe et achemine ces alertes vers l'ingénieur de garde. Pour les équipes SRE & Sécurité, en revanche, elles n’agissent qu’après que de tels incidents ont été signalés.
Il peut y avoir plusieurs équipes responsables de différents composants de l’infrastructure. Et comme Squadcast s'intègre nativement à divers outils de surveillance des performances des application (APM)/journalisation et de suivi des erreurs, il peut avertir l'équipe appropriée en acheminant intelligemment les alertes et en les aidant à collaborer en temps réel pour gérer les incidents au sein de Squadcast.
Combiner la puissance de Squadcast et de Threat Stack
Pour bien comprendre la profondeur de l’intégration de Squadcast + Threat Stack , prenons l’exemple précédent d’un client dont l’infrastructure est sur AWS. Dans ce scénario, Threat Stack Cloud Security Platform® observe les différentes couches des infrastructures modernes pour détecter une grande variété de comportements au sein de votre environnement. Combinées à AWS CloudWatch, ces solutions permettent de surveiller l'infrastructure/la pile application et de suivre les indicateurs de niveau de service (SLI) et les objectifs de niveau de service (SLO). Si un SLO est violé, des alertes sont alors envoyées à la plateforme Squadcast.
En termes simples, chaque fois qu'une alerte se produit sur la plateforme Threat Stack, le Webhook configuré pour Squadcast est signalé et un incident est créé. De même, si Threat Stack envoie plusieurs alertes, la plateforme Squadcast peut organiser et regrouper les alertes (déduplication) , fournissant ainsi un contexte complet aux utilisateurs travaillant à la résolution de l'incident. Explorons pourquoi cela est bénéfique.
Quatre avantages de l’intégration des plateformes de surveillance et de réponse aux incidents dans le cloud
Temps de récupération plus rapide : La première étape vers une gestion optimale des incidents consiste à ajouter un contexte pertinent aux incidents dès qu’ils sont détectés. Les charges utiles des incidents passant de Threat Stack à Squadcast peuvent être dotées de balises ajoutées pour rendre les alertes plus riches en contexte. Des exemples de telles balises sont la priorité de l'incident , la gravité de l'incident , le nom de l'environnement , etc., qui fournissent un meilleur contexte aux ingénieurs de sécurité lorsqu'ils reçoivent une alerte, contribuant ainsi à initier une réponse plus rapide aux incidents et à réduire en fin de compte le MTTR.
Une plus grande transparence sur les incidents : En règle générale, une transparence accrue se traduit non seulement par une meilleure gestion des incidents et un meilleur processus de réponse, mais, plus important encore, augmente la confiance entre les membres de l’équipe. Cela les aide à mieux déterminer ce qui s’est passé avant de planifier les étapes suivantes pour résoudre le problème.
Ensemble, Threat Stack et Squadcast permettent une approche holistique de la gestion des incidents via une transparence totale sur les risques et des capacités de réponse en temps réel, qui minimisent toutes les frictions dans le cycle de vie de la réponse aux incidents. De même, avec une meilleure collaboration et une meilleure transparence, la fiabilité globale des systèmes et services informatiques critiques s’améliore considérablement.
Autopsies sans reproche : De nombreux incidents peuvent être rapidement corrigés avec des outils tels que l'automatisation de l'infrastructure, les runbooks, les indicateurs de fonctionnalités, le contrôle de version et la livraison continue pour tenir votre équipe informée avec des chatops et des pages d'état . Bien que bénéfiques pour résoudre la situation, ces actions n’apportent pas beaucoup de valeur pour aider les équipes de sécurité à comprendre ce qui a échoué et pourquoi. Mais comprendre cela est une étape cruciale pour éviter que des événements similaires ne se reproduisent et garantir que les équipes développent une culture autour d’analyses post-mortem d’incidents irréprochables. Il convient également de noter que le fait de leur donner les moyens de saisir facilement et automatiquement les informations sur les incidents et de publier le rapport final avec des listes de contrôle et des modèles réutilisables pourrait potentiellement rendre les réunions post-mortem sur les incidents moins pénibles.
Informations détaillées sur la fiabilité : La fonction de reporting et d’analyse de Squadcast révélera les performances de l’équipe en matière de reconnaissance et de résolution des alertes et aidera à identifier les domaines à améliorer. Il peut aider les équipes à visualiser et à analyser la répartition des incidents entre les services pendant une période donnée et l’état de chaque service.
Avec le nombre croissant d’incidents, de nombreux modèles émergeront pour redoubler d’efforts sur les problèmes fréquents. Vous pouvez effectuer une analyse exploratoire des données à l’aide de représentations graphiques et mieux comprendre les incidents passés. Ces données peuvent également être exportées en filtrant en fonction des balises portées par les incidents, telles que les balises de gravité, la source de l'alerte, le statut, la date et l'heure, etc.
En conclusion, la combinaison de la puissance de Threat Stack et de Squadcast vous aidera à détecter et à répondre rapidement aux risques de sécurité et de conformité sur vos charges de travail cloud, contribuant ainsi énormément à réduire les indicateurs de performance clés tels que MTTK et MTTR.
Si vous souhaitez unifier ces deux outils, les équipes de support Squadcast et Threat Stack sont disponibles pour vous aider à réussir. Si vous avez d'autres bonnes pratiques à partager ou si vous souhaitez obtenir de l'aide concernant la configuration de l'intégration Threat Stack/Squadcast, n'hésitez pas à contacter l'équipe d'assistance Squadcast.
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .