La chasse aux menaces est le processus de recherche d’activités malveillantes et de leurs artefacts dans un système informatique ou un réseau. La chasse aux menaces est effectuée par intermittence dans un environnement, que des menaces aient été découvertes ou non par des solutions de sécurité automatisées. Certains acteurs de la menace peuvent rester inactifs dans l’infrastructure d’une organisation, étendant leur accès en attendant la bonne occasion d’exploiter les faiblesses découvertes.
Il est donc important d’effectuer une chasse aux menaces pour identifier les acteurs malveillants dans un environnement et les arrêter avant qu’ils n’atteignent leur objectif ultime.
Pour effectuer efficacement la chasse aux menaces, le chasseur de menaces doit avoir une approche systématique pour imiter le comportement possible de l’adversaire. Ce comportement contradictoire détermine les artefacts pouvant être recherchés qui indiquent une activité malveillante en cours ou passée.
AT&CT D’ONGLET
Au fil des ans, la communauté de la sécurité a observé que les acteurs de la menace utilisaient couramment de nombreuses tactiques, techniques et procédures (TTP) pour infiltrer et pivoter sur les réseaux, élever les privilèges et exfiltrer les données confidentielles. Cela a conduit au développement de divers cadres pour cartographier les activités et les méthodes des acteurs de la menace. Un exemple est le framework MITRE ATT&CK.
MITRE ATT&CK est un acronyme qui signifie MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). Il s’agit d’une base de connaissances bien documentée sur les actions et les comportements réels des acteurs de la menace. Le framework MITRE ATT&CK dispose de 14 tactiques et de nombreuses techniques qui identifient ou indiquent une attaque en cours. MITRE utilise des identifiants pour référencer la tactique ou la technique employée par un adversaire.
La plateforme unifiée XDR et SIEM de Wazuh
Wazuh est une plate-forme open source unifiée XDR et SIEM. La solution Wazuh est composée d’un seul agent universel qui est déployé sur des terminaux surveillés pour la détection des menaces et la réponse automatisée. Il possède également des composants centraux (serveur Wazuh, indexeur et tableau de bord) qui analysent et visualisent les données d’événements de sécurité collectées par l’agent Wazuh. Il protège les charges de travail sur site et dans le cloud.
 |
| Figure 1 : Tableau de bord des événements de sécurité Wazuh |
Chasse aux menaces avec Wazuh
Les chasseurs de menaces utilisent divers outils, processus et méthodes pour rechercher des artefacts malveillants dans un environnement. Celles-ci incluent, mais sans s’y limiter, l’utilisation d’outils de surveillance de la sécurité, de surveillance de l’intégrité des fichiers et d’évaluation de la configuration des terminaux.
Wazuh offre des fonctionnalités robustes telles que la surveillance de l’intégrité des fichiers, l’évaluation de la configuration de la sécurité, la détection des menaces, la réponse automatisée aux menaces et l’intégration avec des solutions qui fournissent des flux de renseignements sur les menaces.
Module Wazuh MITRE ATT&CK
Wazuh est livré avec le module MITRE ATT&CK prêt à l’emploi et les règles de détection des menaces mappées par rapport à leurs ID de technique MITRE correspondants. Ce module comporte quatre composantes qui sont :
un. La composante intelligence du module Wazuh MITRE ATT&CK: Contient des informations détaillées sur les groupes de menaces, l’atténuation, les logiciels, les tactiques et les techniques utilisées dans les cyberattaques. Ce composant aide les chasseurs de menaces à identifier et à classer les différents TTP utilisés par les adversaires.
 |
| Figure 2 : Renseignement Wazuh MITRE ATT&CK |
b. Le composant framework du module Wazuh MITRE ATT&CK: aide les chasseurs de menaces à réduire les menaces ou les terminaux compromis. Ce composant utilise des techniques spécifiques pour voir tous les événements liés à cette technique et les points de terminaison où ces événements se sont produits.
 |
| Figure 3 : Cadre Wazuh MITRE ATT&CK |
c. Le composant tableau de bord du module MITRE ATT&CK: Aide à résumer tous les événements dans des graphiques pour aider les chasseurs de menaces à avoir un aperçu rapide des activités liées à MITRE dans une infrastructure.
 |
| Figure 4 : Tableau de bord Wazuh MITRE ATT&CK |
ré. Le composant d’événements Wazuh MITRE ATT&CK: Affiche les événements en temps réel, avec leurs ID MITRE respectifs, pour mieux comprendre chaque alerte signalée.
 |
| Figure 5 : Événements Wazuh MITRE ATT&CK |
Règles et décodeurs Wazuh
Wazuh dispose de règles et de décodeurs prêts à l’emploi pour analyser les données de sécurité et d’exécution générées à partir de différentes sources. Wazuh prend en charge les règles pour différentes technologies (par exemple, Docker, CISCO, Microsoft Exchange), qui ont été mappées à leurs ID MITRE appropriés. Les utilisateurs peuvent également créer des règles et des décodeurs personnalisés et mapper chaque règle avec sa tactique ou technique MITRE appropriée. Cette article de blog montre un exemple d’utilisation des règles personnalisées MITRE ATT&CK et Wazuh pour détecter un adversaire.
Module d’évaluation de la configuration de la sécurité (SCA)
Le module Wazuh SCA effectue des analyses périodiques des terminaux pour détecter les erreurs de configuration du système et des applications. Il peut également être utilisé pour rechercher des indicateurs de compromis, tels que des fichiers et des dossiers malveillants créés par des logiciels malveillants. L’analyse des inventaires logiciels, des services, des erreurs de configuration et des changements de configuration sur un terminal peut aider les chasseurs de menaces à détecter les attaques en cours.
 |
| Figure 6 : Tableau de bord Wazuh SCA |
Intégration avec des solutions de renseignement sur les menaces
En raison de sa nature open source, Wazuh offre la possibilité de s’intégrer aux API de renseignement sur les menaces et à d’autres solutions de sécurité. Wazuh s’intègre aux plates-formes open source de renseignement sur les menaces telles que Virus totalURLHaus, MISP et AbusIPDB pour n’en nommer que quelques-uns. Selon l’intégration, les alertes pertinentes apparaissent dans le tableau de bord Wazuh. Des informations spécifiques, telles que les adresses IP, les hachages de fichiers et les URL, peuvent être interrogées à l’aide de filtres sur le tableau de bord Wazuh.
Surveillance de l’intégrité des fichiers
La surveillance de l’intégrité des fichiers (FIM) est utilisée pour surveiller et auditer les fichiers et dossiers sensibles sur les terminaux. Wazuh fournit un module FIM qui surveille et détecte les modifications dans les répertoires ou fichiers spécifiés sur le système de fichiers d’un point de terminaison. Le module FIM peut également détecter le moment où les fichiers introduits sur les points de terminaison correspondent aux hachages de logiciels malveillants connus.
Archives Wazuh
Les archives Wazuh peuvent être activées pour collecter et stocker tous les événements de sécurité ingérés à partir des terminaux surveillés. Cette fonctionnalité aide les chasseurs de menaces en leur fournissant des données qui peuvent être utilisées pour créer des règles de détection et garder une longueur d’avance sur les acteurs de la menace. Les archives Wazuh sont également utiles pour respecter la conformité réglementaire lorsque l’historique des journaux d’audit est requis.
Conclusion
Le cadre MITRE ATT&CK permet de classer et d’identifier correctement les menaces en fonction des TTP découverts. Wazuh utilise ses composants dédiés MITRE ATT&CK pour afficher des informations sur la façon dont les données de sécurité des terminaux correspondent aux TTP. Les capacités de chasse aux menaces de Wazuh aident les analystes en cybersécurité à détecter les cyberattaques apparentes ainsi que les compromis sous-jacents à l’infrastructure.
Wazuh est une plate-forme gratuite et open source qui peut être utilisée par les organisations disposant d’une infrastructure cloud et sur site. Wazuh possède l’un des open source à la croissance la plus rapide communauté dans le monde, où l’apprentissage, les discussions et le soutien sont offerts sans frais. Regarde ça Documentation pour commencer avec Wazuh.