Le traitement des alertes rapidement et efficacement est la pierre angulaire du r\u00f4le d’un professionnel du centre d’op\u00e9rations de s\u00e9curit\u00e9 (SOC). Les plateformes de renseignement sur les menaces peuvent am\u00e9liorer consid\u00e9rablement leur capacit\u00e9 \u00e0 y parvenir. D\u00e9couvrons ce que sont ces plateformes et comment elles peuvent responsabiliser les analystes.<\/p>\n
Le d\u00e9fi\u00a0: surcharge d\u2019alertes<\/h2>\n
Le SOC moderne est confront\u00e9 \u00e0 un barrage incessant d\u2019alertes de s\u00e9curit\u00e9 g\u00e9n\u00e9r\u00e9es par les SIEM et les EDR. Passer au crible ces alertes prend du temps et n\u00e9cessite beaucoup de ressources. L’analyse d’une menace potentielle n\u00e9cessite souvent de rechercher dans plusieurs sources avant de trouver des preuves concluantes pour v\u00e9rifier si elle pr\u00e9sente un risque r\u00e9el. Ce processus est en outre entrav\u00e9 par la frustration de passer un temps pr\u00e9cieux \u00e0 rechercher des artefacts qui se r\u00e9v\u00e8lent finalement \u00eatre des faux positifs.<\/p>\n
En cons\u00e9quence, une partie importante de ces \u00e9v\u00e9nements ne fait l\u2019objet d\u2019aucune enqu\u00eate. Cela met en \u00e9vidence un d\u00e9fi crucial : trouver rapidement et avec pr\u00e9cision les informations n\u00e9cessaires li\u00e9es aux diff\u00e9rents indicateurs. Les plateformes de donn\u00e9es sur les menaces offrent une solution. Ces plates-formes vous permettent de rechercher toute URL, adresse IP ou autre indicateur suspect et de recevoir des informations imm\u00e9diates sur son risque potentiel. L\u2019une de ces plateformes est Threat Intelligence Lookup d\u2019ANY.RUN.<\/p>\n
Les plateformes de renseignement sur les menaces \u00e0 la rescousse<\/h2>\n
Les plateformes sp\u00e9cialis\u00e9es pour les enqu\u00eates SOC exploitent leurs bases de donn\u00e9es de donn\u00e9es sur les menaces, regroup\u00e9es \u00e0 partir de diverses sources. Prenez, par exemple, la recherche de renseignements sur les menaces (TI Lookup) d’ANY.RUN. Cette plateforme collecte des indicateurs de compromission (IOC) \u00e0 partir de millions de sessions d’analyse interactives (t\u00e2ches) men\u00e9es dans le bac \u00e0 sable ANY.RUN. <\/p>\n
La plateforme offre une dimension suppl\u00e9mentaire en mati\u00e8re de donn\u00e9es sur les menaces : journaux des processus, activit\u00e9 du registre et du r\u00e9seau, contenu de la ligne de commande et autres informations syst\u00e8me g\u00e9n\u00e9r\u00e9es lors des sessions d’analyse sandbox. Les utilisateurs peuvent ensuite rechercher des d\u00e9tails pertinents dans ces champs.<\/p>\n
Avantages des plateformes de renseignements sur les menaces<\/h2>\nUne visibilit\u00e9 plus approfondie sur les menaces<\/h3>\n
Au lieu de s’appuyer sur des sources de donn\u00e9es dispers\u00e9es, ces plates-formes offrent un point d’acc\u00e8s unique pour rechercher des IOC sur diff\u00e9rents points de donn\u00e9es. Cela inclut les URL, les hachages de fichiers, les adresses IP, les \u00e9v\u00e9nements enregistr\u00e9s, les lignes de commande et les registres, permettant une identification et une enqu\u00eate plus compl\u00e8tes des menaces.<\/p>\n
Enqu\u00eates d\u2019alerte plus rapides<\/h3>\n
Lorsqu\u2019un incident de s\u00e9curit\u00e9 survient, le temps presse. Les plates-formes TI aident \u00e0 collecter rapidement des donn\u00e9es pertinentes sur les menaces, permettant une compr\u00e9hension plus approfondie de la nature de l’attaque, des syst\u00e8mes affect\u00e9s et de la port\u00e9e de la compromission. Cela peut consid\u00e9rablement acc\u00e9l\u00e9rer et am\u00e9liorer les efforts de r\u00e9ponse.<\/p>\n
Chasse proactive aux menaces<\/h3>\n
Les plateformes de renseignements sur les menaces permettent aux \u00e9quipes de rechercher activement les IOC connus associ\u00e9s \u00e0 des familles de logiciels malveillants sp\u00e9cifiques. Cette approche proactive peut aider \u00e0 d\u00e9couvrir les menaces cach\u00e9es avant qu\u2019elles ne d\u00e9g\u00e9n\u00e8rent en incidents majeurs.<\/p>\n
Ils peuvent donner acc\u00e8s \u00e0 des donn\u00e9es susceptibles de r\u00e9v\u00e9ler des vuln\u00e9rabilit\u00e9s potentielles associ\u00e9es \u00e0 des menaces connues. Ces informations peuvent \u00e9clairer les \u00e9valuations des risques et aider les organisations \u00e0 prioriser les efforts de s\u00e9curit\u00e9 en fonction des dangers les plus urgents.<\/p>\n
Analyse des menaces et prise de d\u00e9cision<\/h3>\n
Gr\u00e2ce \u00e0 des informations d\u00e9taill\u00e9es sur le comportement des logiciels malveillants, les \u00e9quipes peuvent analyser plus pr\u00e9cis\u00e9ment les menaces et prendre des d\u00e9cisions \u00e9clair\u00e9es concernant le confinement, la rem\u00e9diation et les futures mesures pr\u00e9ventives. Ce cycle d\u2019apprentissage continu renforce la posture globale de s\u00e9curit\u00e9 et les comp\u00e9tences de l\u2019\u00e9quipe.<\/p>\n
Exemples de requ\u00eates sur la plateforme de Threat Intelligence<\/h2>\nRecherche avec des indicateurs individuels<\/h3>\n![\"Renseignements](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/De-lalerte-a-laction-comment-accelerer-vos-enquetes-SOC.png\" "\\"Renseignements")
<\/a><\/div>\nImaginez que vous soup\u00e7onniez qu’un syst\u00e8me compromis au sein de votre r\u00e9seau t\u00e9l\u00e9charge des fichiers malveillants. Vous identifiez une adresse IP sp\u00e9cifique comme source potentielle et d\u00e9cidez d\u2019enqu\u00eater plus en profondeur. Saisissez l’adresse IP dans la barre de recherche d’une plateforme de renseignement sur les menaces. Instantan\u00e9ment, la plateforme signale l’adresse comme malveillante et li\u00e9e au malware Remcos, offrant des informations sur les domaines, les ports et m\u00eame les fichiers associ\u00e9s \u00e0 cette IP.<\/p>\n
Il donne \u00e9galement acc\u00e8s aux sessions d’analyse dans lesquelles cette adresse IP a \u00e9t\u00e9 impliqu\u00e9e et r\u00e9pertorie les tactiques, techniques et proc\u00e9dures (TTP) utilis\u00e9es par les logiciels malveillants dans ces sessions.<\/p>\n
![\"Renseignements](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1709036312_202_De-lalerte-a-laction-comment-accelerer-vos-enquetes-SOC.png\" "\\"Renseignements")
<\/a><\/div>\nVous pouvez \u00e9tudier chaque session en d\u00e9tail en cliquant simplement dessus. Le syst\u00e8me vous am\u00e8nera \u00e0 la page de la session dans le bac \u00e0 sable ANY.RUN, o\u00f9 vous pourrez explorer tous les processus, connexions et activit\u00e9s du registre, ainsi que collecter la configuration et les IOC du malware ou t\u00e9l\u00e9charger un rapport complet sur les menaces.<\/p>\n
Recherche flexible avec des caract\u00e8res g\u00e9n\u00e9riques<\/h3>\n
Une autre fonctionnalit\u00e9 utile des plateformes de renseignement sur les menaces telles que TI Lookup est la possibilit\u00e9 de soumettre des caract\u00e8res g\u00e9n\u00e9riques et des requ\u00eates combin\u00e9es.<\/p>\n
![\"Renseignements](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1709036313_335_De-lalerte-a-laction-comment-accelerer-vos-enquetes-SOC.png\" "\\"Renseignements")
<\/a><\/div>\nPar exemple, la requ\u00eate \u00ab binPath=*start= auto \u00bb utilise le caract\u00e8re g\u00e9n\u00e9rique ast\u00e9risque et recherche toute ligne de commande avec \u00ab binPath= \u00bb suivi de tous les caract\u00e8res se terminant par \u00ab start= auto \u00bb. <\/p>\n
La plateforme renvoie une centaine de sessions o\u00f9 le m\u00eame fragment est apparu. Un examen plus approfondi des r\u00e9sultats de la recherche indique que cet artefact de ligne de commande sp\u00e9cifique est caract\u00e9ristique du malware Tofsee.<\/p>\n
Demandes de recherche combin\u00e9es<\/h3>\n
Une autre option pour mener une enqu\u00eate consiste \u00e0 regrouper tous les indicateurs disponibles et \u00e0 les soumettre \u00e0 la plateforme de renseignement sur les menaces afin d\u2019identifier tous les cas o\u00f9 ces crit\u00e8res apparaissent collectivement. <\/p>\n
![\"Renseignements](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1709036314_57_De-lalerte-a-laction-comment-accelerer-vos-enquetes-SOC.png\" "\\"Renseignements")
<\/a><\/div>\nPar exemple, vous pouvez cr\u00e9er une requ\u00eate qui recherche toutes les t\u00e2ches (sessions) class\u00e9es comme \u00ab fichier \u00bb, ex\u00e9cut\u00e9es sous Windows 7, avec un syst\u00e8me d’exploitation 64 bits, se connectant au port 50500 et contenant la cha\u00eene \u00ab schtasks \u00bb dans la ligne de commande. . <\/p>\n
La plateforme identifie ensuite de nombreuses sessions qui r\u00e9pondent aux crit\u00e8res sp\u00e9cifi\u00e9s et fournit en outre une liste d’adresses IP \u00e9tiquet\u00e9es \u00ab RisePro \u00bb, mettant en \u00e9vidence le malware responsable.<\/p>\n
Essayez la recherche de renseignements sur les menaces<\/h2>\n
La recherche de renseignements sur les menaces d’ANY.RUN vous permet d’enqu\u00eater sur les menaces avec pr\u00e9cision. Analysez les processus, les fichiers, l’activit\u00e9 r\u00e9seau et bien plus encore. Affinez votre recherche avec plus de 30 champs, y compris les adresses IP, les domaines, les \u00e9v\u00e9nements enregistr\u00e9s et les techniques MITRE. Combinez les param\u00e8tres pour une compr\u00e9hension globale. Utilisez des requ\u00eates g\u00e9n\u00e9riques pour \u00e9tendre votre port\u00e9e.<\/p>\n
Demander un essai<\/a> pour recevoir 50 demandes gratuites pour explorer la plateforme. <\/p>\n<\/p>\n
Vous avez trouv\u00e9 cet article int\u00e9ressant ? Cet article est une contribution de l\u2019un de nos pr\u00e9cieux partenaires.<\/span> Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n
![\"Renseignements](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/De-lalerte-a-laction-comment-accelerer-vos-enquetes-SOC.jpg\" "\\"Renseignements")
<\/a><\/div>\nImaginez que vous soup\u00e7onniez qu’un syst\u00e8me compromis au sein de votre r\u00e9seau t\u00e9l\u00e9charge des fichiers malveillants. Vous identifiez une adresse IP sp\u00e9cifique comme source potentielle et d\u00e9cidez d\u2019enqu\u00eater plus en profondeur. Saisissez l’adresse IP dans la barre de recherche d’une plateforme de renseignement sur les menaces. Instantan\u00e9ment, la plateforme signale l’adresse comme malveillante et li\u00e9e au malware Remcos, offrant des informations sur les domaines, les ports et m\u00eame les fichiers associ\u00e9s \u00e0 cette IP.<\/p>\n
Il donne \u00e9galement acc\u00e8s aux sessions d’analyse dans lesquelles cette adresse IP a \u00e9t\u00e9 impliqu\u00e9e et r\u00e9pertorie les tactiques, techniques et proc\u00e9dures (TTP) utilis\u00e9es par les logiciels malveillants dans ces sessions.<\/p>\n
<\/a><\/div>\nVous pouvez \u00e9tudier chaque session en d\u00e9tail en cliquant simplement dessus. Le syst\u00e8me vous am\u00e8nera \u00e0 la page de la session dans le bac \u00e0 sable ANY.RUN, o\u00f9 vous pourrez explorer tous les processus, connexions et activit\u00e9s du registre, ainsi que collecter la configuration et les IOC du malware ou t\u00e9l\u00e9charger un rapport complet sur les menaces.<\/p>\n
Recherche flexible avec des caract\u00e8res g\u00e9n\u00e9riques<\/h3>\n
Une autre fonctionnalit\u00e9 utile des plateformes de renseignement sur les menaces telles que TI Lookup est la possibilit\u00e9 de soumettre des caract\u00e8res g\u00e9n\u00e9riques et des requ\u00eates combin\u00e9es.<\/p>\n
<\/a><\/div>\nPar exemple, la requ\u00eate \u00ab binPath=*start= auto \u00bb utilise le caract\u00e8re g\u00e9n\u00e9rique ast\u00e9risque et recherche toute ligne de commande avec \u00ab binPath= \u00bb suivi de tous les caract\u00e8res se terminant par \u00ab start= auto \u00bb. <\/p>\n
La plateforme renvoie une centaine de sessions o\u00f9 le m\u00eame fragment est apparu. Un examen plus approfondi des r\u00e9sultats de la recherche indique que cet artefact de ligne de commande sp\u00e9cifique est caract\u00e9ristique du malware Tofsee.<\/p>\n
Demandes de recherche combin\u00e9es<\/h3>\n
Une autre option pour mener une enqu\u00eate consiste \u00e0 regrouper tous les indicateurs disponibles et \u00e0 les soumettre \u00e0 la plateforme de renseignement sur les menaces afin d\u2019identifier tous les cas o\u00f9 ces crit\u00e8res apparaissent collectivement. <\/p>\n
<\/a><\/div>\nPar exemple, vous pouvez cr\u00e9er une requ\u00eate qui recherche toutes les t\u00e2ches (sessions) class\u00e9es comme \u00ab fichier \u00bb, ex\u00e9cut\u00e9es sous Windows 7, avec un syst\u00e8me d’exploitation 64 bits, se connectant au port 50500 et contenant la cha\u00eene \u00ab schtasks \u00bb dans la ligne de commande. . <\/p>\n
La plateforme identifie ensuite de nombreuses sessions qui r\u00e9pondent aux crit\u00e8res sp\u00e9cifi\u00e9s et fournit en outre une liste d’adresses IP \u00e9tiquet\u00e9es \u00ab RisePro \u00bb, mettant en \u00e9vidence le malware responsable.<\/p>\n
Essayez la recherche de renseignements sur les menaces<\/h2>\n
La recherche de renseignements sur les menaces d’ANY.RUN vous permet d’enqu\u00eater sur les menaces avec pr\u00e9cision. Analysez les processus, les fichiers, l’activit\u00e9 r\u00e9seau et bien plus encore. Affinez votre recherche avec plus de 30 champs, y compris les adresses IP, les domaines, les \u00e9v\u00e9nements enregistr\u00e9s et les techniques MITRE. Combinez les param\u00e8tres pour une compr\u00e9hension globale. Utilisez des requ\u00eates g\u00e9n\u00e9riques pour \u00e9tendre votre port\u00e9e.<\/p>\n
Demander un essai<\/a> pour recevoir 50 demandes gratuites pour explorer la plateforme. <\/p>\n <\/p>\n