La tentation est donc grande de se limiter à une approche centrée sur les terminaux, et à se reposer sur les promesses des EDR.
Publié le 29/01/2024 par Stefan THIBAULT
Defense Detection SOC
2 min de lecture
Opérer un SIEM est perçu comme coûteux en temps et en ressources : construire et maintenir des flux de collecte, écrire et faire évoluer des règles, optimiser l’ensemble pour limiter les coûts de licences, tout cela contribue à un délai de mise en œuvre allongé pour une efficacité de détection difficile à maintenir dans la durée.
La tentation est donc grande de se limiter à une approche centrée sur les terminaux, et à se reposer sur les promesses des EDR : un déploiement rapide, peu de modifications sur les infrastructures, des capacités de réponse directement intégrées et des règles de détection pertinentes sur étagère.
Quand on part de zéro, il est évident que commencer par un EDR offrira un niveau de couverture précieux en un temps record. Mais de nombreuses limitations poussent généralement à compléter le dispositif par une collecte, centralisation et corrélation de logs :
En fonction du niveau de détection qu’on souhaite atteindre, la corrélation de logs reste encore aujourd’hui un mécanisme indispensable.
Mentions légales