Le traitement des alertes rapidement et efficacement est la pierre angulaire du rôle d’un professionnel du centre d’opérations de sécurité (SOC). Les plateformes de renseignement sur les menaces peuvent améliorer considérablement leur capacité à y parvenir. Découvrons ce que sont ces plateformes et comment elles peuvent responsabiliser les analystes.
Le défi : surcharge d’alertes
Le SOC moderne est confronté à un barrage incessant d’alertes de sécurité générées par les SIEM et les EDR. Passer au crible ces alertes prend du temps et nécessite beaucoup de ressources. L’analyse d’une menace potentielle nécessite souvent de rechercher dans plusieurs sources avant de trouver des preuves concluantes pour vérifier si elle présente un risque réel. Ce processus est en outre entravé par la frustration de passer un temps précieux à rechercher des artefacts qui se révèlent finalement être des faux positifs.
En conséquence, une partie importante de ces événements ne fait l’objet d’aucune enquête. Cela met en évidence un défi crucial : trouver rapidement et avec précision les informations nécessaires liées aux différents indicateurs. Les plateformes de données sur les menaces offrent une solution. Ces plates-formes vous permettent de rechercher toute URL, adresse IP ou autre indicateur suspect et de recevoir des informations immédiates sur son risque potentiel. L’une de ces plateformes est Threat Intelligence Lookup d’ANY.RUN.
Les plateformes de renseignement sur les menaces à la rescousse
Les plateformes spécialisées pour les enquêtes SOC exploitent leurs bases de données de données sur les menaces, regroupées à partir de diverses sources. Prenez, par exemple, la recherche de renseignements sur les menaces (TI Lookup) d’ANY.RUN. Cette plateforme collecte des indicateurs de compromission (IOC) à partir de millions de sessions d’analyse interactives (tâches) menées dans le bac à sable ANY.RUN.
La plateforme offre une dimension supplémentaire en matière de données sur les menaces : journaux des processus, activité du registre et du réseau, contenu de la ligne de commande et autres informations système générées lors des sessions d’analyse sandbox. Les utilisateurs peuvent ensuite rechercher des détails pertinents dans ces champs.
Avantages des plateformes de renseignements sur les menaces
Une visibilité plus approfondie sur les menaces
Au lieu de s’appuyer sur des sources de données dispersées, ces plates-formes offrent un point d’accès unique pour rechercher des IOC sur différents points de données. Cela inclut les URL, les hachages de fichiers, les adresses IP, les événements enregistrés, les lignes de commande et les registres, permettant une identification et une enquête plus complètes des menaces.
Enquêtes d’alerte plus rapides
Lorsqu’un incident de sécurité survient, le temps presse. Les plates-formes TI aident à collecter rapidement des données pertinentes sur les menaces, permettant une compréhension plus approfondie de la nature de l’attaque, des systèmes affectés et de la portée de la compromission. Cela peut considérablement accélérer et améliorer les efforts de réponse.
Chasse proactive aux menaces
Les plateformes de renseignements sur les menaces permettent aux équipes de rechercher activement les IOC connus associés à des familles de logiciels malveillants spécifiques. Cette approche proactive peut aider à découvrir les menaces cachées avant qu’elles ne dégénèrent en incidents majeurs.
Ils peuvent donner accès à des données susceptibles de révéler des vulnérabilités potentielles associées à des menaces connues. Ces informations peuvent éclairer les évaluations des risques et aider les organisations à prioriser les efforts de sécurité en fonction des dangers les plus urgents.
Analyse des menaces et prise de décision
Grâce à des informations détaillées sur le comportement des logiciels malveillants, les équipes peuvent analyser plus précisément les menaces et prendre des décisions éclairées concernant le confinement, la remédiation et les futures mesures préventives. Ce cycle d’apprentissage continu renforce la posture globale de sécurité et les compétences de l’équipe.
Exemples de requêtes sur la plateforme de Threat Intelligence
Recherche avec des indicateurs individuels
Imaginez que vous soupçonniez qu’un système compromis au sein de votre réseau télécharge des fichiers malveillants. Vous identifiez une adresse IP spécifique comme source potentielle et décidez d’enquêter plus en profondeur. Saisissez l’adresse IP dans la barre de recherche d’une plateforme de renseignement sur les menaces. Instantanément, la plateforme signale l’adresse comme malveillante et liée au malware Remcos, offrant des informations sur les domaines, les ports et même les fichiers associés à cette IP.
Il donne également accès aux sessions d’analyse dans lesquelles cette adresse IP a été impliquée et répertorie les tactiques, techniques et procédures (TTP) utilisées par les logiciels malveillants dans ces sessions.
Vous pouvez étudier chaque session en détail en cliquant simplement dessus. Le système vous amènera à la page de la session dans le bac à sable ANY.RUN, où vous pourrez explorer tous les processus, connexions et activités du registre, ainsi que collecter la configuration et les IOC du malware ou télécharger un rapport complet sur les menaces.
Recherche flexible avec des caractères génériques
Une autre fonctionnalité utile des plateformes de renseignement sur les menaces telles que TI Lookup est la possibilité de soumettre des caractères génériques et des requêtes combinées.
Par exemple, la requête « binPath=*start= auto » utilise le caractère générique astérisque et recherche toute ligne de commande avec « binPath= » suivi de tous les caractères se terminant par « start= auto ».
La plateforme renvoie une centaine de sessions où le même fragment est apparu. Un examen plus approfondi des résultats de la recherche indique que cet artefact de ligne de commande spécifique est caractéristique du malware Tofsee.
Demandes de recherche combinées
Une autre option pour mener une enquête consiste à regrouper tous les indicateurs disponibles et à les soumettre à la plateforme de renseignement sur les menaces afin d’identifier tous les cas où ces critères apparaissent collectivement.
Par exemple, vous pouvez créer une requête qui recherche toutes les tâches (sessions) classées comme « fichier », exécutées sous Windows 7, avec un système d’exploitation 64 bits, se connectant au port 50500 et contenant la chaîne « schtasks » dans la ligne de commande. .
La plateforme identifie ensuite de nombreuses sessions qui répondent aux critères spécifiés et fournit en outre une liste d’adresses IP étiquetées « RisePro », mettant en évidence le malware responsable.
Essayez la recherche de renseignements sur les menaces
La recherche de renseignements sur les menaces d’ANY.RUN vous permet d’enquêter sur les menaces avec précision. Analysez les processus, les fichiers, l’activité réseau et bien plus encore. Affinez votre recherche avec plus de 30 champs, y compris les adresses IP, les domaines, les événements enregistrés et les techniques MITRE. Combinez les paramètres pour une compréhension globale. Utilisez des requêtes génériques pour étendre votre portée.
Demander un essai pour recevoir 50 demandes gratuites pour explorer la plateforme.