Defants AIR version 1.16
Nouvelle étape pour Defants AIR : la version 1.16 est disponible !
Voici les principales nouveautés et améliorations que cette mise à jour apporte :
Intégration avec Velociraptor EDR
Grâce à notre nouvelle intégration avec Velociraptor EDR, vous pouvez désormais collecter les données forensiques sur les endpoints Windows et Linux. Cette amélioration offre une flexibilité renforcée pour l’investigation et la réponse aux incidents.
Téléchargement d’agents Velociraptor
Nous facilitons le téléchargement et le déploiement des agents Velociraptor directement depuis notre plateforme, avec des agents générés spécialement pour votre serveur Velociraptor EDR. Vous pouvez choisir entre :
- Installateur Windows (MSI)
- Packages Linux (DEB/RPM)
- Fichier de configuration pour générer d’autres packages selon vos besoins
Prise en charge multi-EDR
Notre plateforme prend désormais en charge la configuration de plusieurs solutions EDR en parallèle, incluant Velociraptor et HarfangLab. Cette nouveauté vous offre une flexibilité pour adapter vos opérations de cybersécurité en fonction de vos besoins spécifiques.
Exportation complète des données
Une nouvelle option disponible sous Paramètres > Système vous permet d’exporter l’intégralité des données de la plateforme, incluant :
- Le graphe de connaissance
- Les rapports
- Les paramètres des microservices
- Les règles de détection des menaces (threat intelligence)
Les données sont regroupées dans un fichier ZIP chiffré, protégé par un mot de passe défini par l’utilisateur, garantissant ainsi une sécurisation lors du transfert et de la sauvegarde.
Microservices : nouveautés et améliorations
Nouveau microservice Jumplist
Analysez les Jumplists Windows mettant en évidence l’utilisation récente des fichiers et les schémas d’accès.
Nouveau microservice Edge
Le microservice Edge permet d’analyser l’historique de navigation et les téléchargements du navigateur Edge, renforçant ainsi les capacités forensiques de la plateforme.
Analyse des Shellbags du registre
Le microservice reghive inclut désormais l’analyse des Shellbags du registre Windows, permettant une reconstruction précise des activités et schémas d’accès des utilisateurs.
Amélioration du microservice O365 avec Azure
Le microservice O365 supporte maintenant l’analyse des fichiers CSV de logs de connexion utilisateur provenant de Microsoft Defender for Identity, améliorant ainsi la détection des activités potentiellement suspectes.
Prise en charge des Zones Identifier NTFS
Le microservice NTFS analyse désormais les Zones Identifier du système de fichier NTFS, permettant d’identifier l’origine des fichiers et les risques de sécurité potentiels.
Analyse des logs d’événements WMI
Les capacités du microservice evtx ont été étendues pour inclure l’analyse des logs d’événements WMI. Cette amélioration fournit des détails complets sur les événements WMI, facilitant la détection et l’analyse des activités système.
Suppression manuelle des scores
Il est désormais possible de supprimer manuellement les scores attribués aux effets via le menu contextuel ou supérieur, permettant ainsi de réduire le nombre de faux positifs.
Avec la release 1.16, Defants AIR franchit une nouvelle étape dans l’amélioration de la cybersécurité, en proposant des outils plus performants pour l’analyse forensique, l’intégration multi-EDR et microservices. Ces avancées permettent aux utilisateurs de renforcer leurs capacités d’investigation et d’adapter leur stratégie de protection en toute flexibilité.