{"id":469531,"date":"2022-11-18T12:04:28","date_gmt":"2022-11-18T14:04:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/chasse-aux-menaces-avec-mitre-attck-et-wazuh\/"},"modified":"2022-11-18T12:04:28","modified_gmt":"2022-11-18T14:04:28","slug":"chasse-aux-menaces-avec-mitre-attck-et-wazuh","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/chasse-aux-menaces-avec-mitre-attck-et-wazuh\/","title":{"rendered":"Chasse aux menaces avec MITRE ATT&#038;CK et Wazuh"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"MITRE ATT&#038;CK et Wazuh\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Chasse-aux-menaces-avec-MITRE-ATTCK-et-Wazuh.png\" title=\"MITRE ATT&#038;CK et Wazuh\"\/><\/div>\n<p>La chasse aux menaces est le processus de recherche d&#8217;activit\u00e9s malveillantes et de leurs artefacts dans un syst\u00e8me informatique ou un r\u00e9seau.  La chasse aux menaces est effectu\u00e9e par intermittence dans un environnement, que des menaces aient \u00e9t\u00e9 d\u00e9couvertes ou non par des solutions de s\u00e9curit\u00e9 automatis\u00e9es.  Certains acteurs de la menace peuvent rester inactifs dans l&#8217;infrastructure d&#8217;une organisation, \u00e9tendant leur acc\u00e8s en attendant la bonne occasion d&#8217;exploiter les faiblesses d\u00e9couvertes.<\/p>\n<p>Il est donc important d&#8217;effectuer une chasse aux menaces pour identifier les acteurs malveillants dans un environnement et les arr\u00eater avant qu&#8217;ils n&#8217;atteignent leur objectif ultime. <\/p>\n<p>Pour effectuer efficacement la chasse aux menaces, le chasseur de menaces doit avoir une approche syst\u00e9matique pour imiter le comportement possible de l&#8217;adversaire.  Ce comportement contradictoire d\u00e9termine les artefacts pouvant \u00eatre recherch\u00e9s qui indiquent une activit\u00e9 malveillante en cours ou pass\u00e9e.<\/p>\n<h2 style=\"text-align: left;\">AT&#038;CT D&#8217;ONGLET<\/h2>\n<p>Au fil des ans, la communaut\u00e9 de la s\u00e9curit\u00e9 a observ\u00e9 que les acteurs de la menace utilisaient couramment de nombreuses tactiques, techniques et proc\u00e9dures (TTP) pour infiltrer et pivoter sur les r\u00e9seaux, \u00e9lever les privil\u00e8ges et exfiltrer les donn\u00e9es confidentielles.  Cela a conduit au d\u00e9veloppement de divers cadres pour cartographier les activit\u00e9s et les m\u00e9thodes des acteurs de la menace.  Un exemple est le framework MITRE ATT&#038;CK.<\/p>\n<p>MITRE ATT&#038;CK est un acronyme qui signifie MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&#038;CK).  Il s&#8217;agit d&#8217;une base de connaissances bien document\u00e9e sur les actions et les comportements r\u00e9els des acteurs de la menace.  Le framework MITRE ATT&#038;CK dispose de 14 tactiques et de nombreuses techniques qui identifient ou indiquent une attaque en cours.  MITRE utilise des identifiants pour r\u00e9f\u00e9rencer la tactique ou la technique employ\u00e9e par un adversaire.<\/p>\n<h2 style=\"text-align: left;\">La plateforme unifi\u00e9e XDR et SIEM de Wazuh<\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\" target=\"_blank\">Wazuh<\/a> est une plate-forme open source unifi\u00e9e XDR et SIEM.  La solution Wazuh est compos\u00e9e d&#8217;un seul agent universel qui est d\u00e9ploy\u00e9 sur des terminaux surveill\u00e9s pour la d\u00e9tection des menaces et la r\u00e9ponse automatis\u00e9e.  Il poss\u00e8de \u00e9galement des composants centraux (serveur Wazuh, indexeur et tableau de bord) qui analysent et visualisent les donn\u00e9es d&#8217;\u00e9v\u00e9nements de s\u00e9curit\u00e9 collect\u00e9es par l&#8217;agent Wazuh.  Il prot\u00e8ge les charges de travail sur site et dans le cloud. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Tableau de bord des \u00e9v\u00e9nements de s\u00e9curit\u00e9 Wazuh\" border=\"0\" data-original-height=\"454\" data-original-width=\"727\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Chasse-aux-menaces-avec-MITRE-ATTCK-et-Wazuh.jpg\" title=\"Tableau de bord des \u00e9v\u00e9nements de s\u00e9curit\u00e9 Wazuh\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figure 1 : Tableau de bord des \u00e9v\u00e9nements de s\u00e9curit\u00e9 Wazuh<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h4 style=\"text-align: left;\">Chasse aux menaces avec Wazuh<\/h4>\n<p>Les chasseurs de menaces utilisent divers outils, processus et m\u00e9thodes pour rechercher des artefacts malveillants dans un environnement.  Celles-ci incluent, mais sans s&#8217;y limiter, l&#8217;utilisation d&#8217;outils de surveillance de la s\u00e9curit\u00e9, de surveillance de l&#8217;int\u00e9grit\u00e9 des fichiers et d&#8217;\u00e9valuation de la configuration des terminaux.<\/p>\n<p>Wazuh offre des fonctionnalit\u00e9s robustes telles que la surveillance de l&#8217;int\u00e9grit\u00e9 des fichiers, l&#8217;\u00e9valuation de la configuration de la s\u00e9curit\u00e9, la d\u00e9tection des menaces, la r\u00e9ponse automatis\u00e9e aux menaces et l&#8217;int\u00e9gration avec des solutions qui fournissent des flux de renseignements sur les menaces.<\/p>\n<h4 style=\"text-align: left;\">Module Wazuh MITRE ATT&#038;CK <\/h4>\n<p>Wazuh est livr\u00e9 avec le module MITRE ATT&#038;CK pr\u00eat \u00e0 l&#8217;emploi et les r\u00e8gles de d\u00e9tection des menaces mapp\u00e9es par rapport \u00e0 leurs ID de technique MITRE correspondants.  Ce module comporte quatre composantes qui sont :<\/p>\n<p>un. <strong>La composante intelligence du module Wazuh MITRE ATT&#038;CK<\/strong>: Contient des informations d\u00e9taill\u00e9es sur les groupes de menaces, l&#8217;att\u00e9nuation, les logiciels, les tactiques et les techniques utilis\u00e9es dans les cyberattaques.  Ce composant aide les chasseurs de menaces \u00e0 identifier et \u00e0 classer les diff\u00e9rents TTP utilis\u00e9s par les adversaires.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Intelligence Wazuh MITRE ATT&#038;CK\" border=\"0\" data-original-height=\"320\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668780268_121_Chasse-aux-menaces-avec-MITRE-ATTCK-et-Wazuh.jpg\" title=\"Intelligence Wazuh MITRE ATT&#038;CK\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figure 2 : Renseignement Wazuh MITRE ATT&#038;CK<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>b. <strong>Le composant framework du module Wazuh MITRE ATT&#038;CK<\/strong>: aide les chasseurs de menaces \u00e0 r\u00e9duire les menaces ou les terminaux compromis.  Ce composant utilise des techniques sp\u00e9cifiques pour voir tous les \u00e9v\u00e9nements li\u00e9s \u00e0 cette technique et les points de terminaison o\u00f9 ces \u00e9v\u00e9nements se sont produits. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Cadre Wazuh MITRE ATT&#038;CK\" border=\"0\" data-original-height=\"320\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668780268_651_Chasse-aux-menaces-avec-MITRE-ATTCK-et-Wazuh.jpg\" title=\"Cadre Wazuh MITRE ATT&#038;CK\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figure 3 : Cadre Wazuh MITRE ATT&#038;CK<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>c. <strong>Le composant tableau de bord du module MITRE ATT&#038;CK<\/strong>: Aide \u00e0 r\u00e9sumer tous les \u00e9v\u00e9nements dans des graphiques pour aider les chasseurs de menaces \u00e0 avoir un aper\u00e7u rapide des activit\u00e9s li\u00e9es \u00e0 MITRE dans une infrastructure.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Tableau de bord Wazuh MITRE ATT&#038;CK\" border=\"0\" data-original-height=\"327\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668780268_235_Chasse-aux-menaces-avec-MITRE-ATTCK-et-Wazuh.jpg\" title=\"Tableau de bord Wazuh MITRE ATT&#038;CK\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figure 4 : Tableau de bord Wazuh MITRE ATT&#038;CK<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>r\u00e9. <strong>Le composant d&#8217;\u00e9v\u00e9nements Wazuh MITRE ATT&#038;CK<\/strong>: Affiche les \u00e9v\u00e9nements en temps r\u00e9el, avec leurs ID MITRE respectifs, pour mieux comprendre chaque alerte signal\u00e9e. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"\u00c9v\u00e9nements Wazuh MITRE ATT&#038;CK\" border=\"0\" data-original-height=\"332\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668780268_441_Chasse-aux-menaces-avec-MITRE-ATTCK-et-Wazuh.jpg\" title=\"\u00c9v\u00e9nements Wazuh MITRE ATT&#038;CK\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figure 5 : \u00c9v\u00e9nements Wazuh MITRE ATT&#038;CK<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>R\u00e8gles et d\u00e9codeurs Wazuh <\/h3>\n<p>Wazuh dispose de r\u00e8gles et de d\u00e9codeurs pr\u00eats \u00e0 l&#8217;emploi pour analyser les donn\u00e9es de s\u00e9curit\u00e9 et d&#8217;ex\u00e9cution g\u00e9n\u00e9r\u00e9es \u00e0 partir de diff\u00e9rentes sources.  Wazuh prend en charge les r\u00e8gles pour diff\u00e9rentes technologies (par exemple, Docker, CISCO, Microsoft Exchange), qui ont \u00e9t\u00e9 mapp\u00e9es \u00e0 leurs ID MITRE appropri\u00e9s.  Les utilisateurs peuvent \u00e9galement cr\u00e9er des r\u00e8gles et des d\u00e9codeurs personnalis\u00e9s et mapper chaque r\u00e8gle avec sa tactique ou technique MITRE appropri\u00e9e.  Cette <a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/blog\/adversary-emulation-with-caldera-and-wazuh\/\" target=\"_blank\">article de blog<\/a> montre un exemple d&#8217;utilisation des r\u00e8gles personnalis\u00e9es MITRE ATT&#038;CK et Wazuh pour d\u00e9tecter un adversaire.<\/p>\n<h3>Module d&#8217;\u00e9valuation de la configuration de la s\u00e9curit\u00e9 (SCA) <\/h3>\n<p>Le module Wazuh SCA effectue des analyses p\u00e9riodiques des terminaux pour d\u00e9tecter les erreurs de configuration du syst\u00e8me et des applications.  Il peut \u00e9galement \u00eatre utilis\u00e9 pour rechercher des indicateurs de compromis, tels que des fichiers et des dossiers malveillants cr\u00e9\u00e9s par des logiciels malveillants.  L&#8217;analyse des inventaires logiciels, des services, des erreurs de configuration et des changements de configuration sur un terminal peut aider les chasseurs de menaces \u00e0 d\u00e9tecter les attaques en cours. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Tableau de bord Wazuh SCA\" border=\"0\" data-original-height=\"468\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668780268_487_Chasse-aux-menaces-avec-MITRE-ATTCK-et-Wazuh.jpg\" title=\"Tableau de bord Wazuh SCA\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figure 6 : Tableau de bord Wazuh SCA<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Int\u00e9gration avec des solutions de renseignement sur les menaces <\/h3>\n<p>En raison de sa nature open source, Wazuh offre la possibilit\u00e9 de s&#8217;int\u00e9grer aux API de renseignement sur les menaces et \u00e0 d&#8217;autres solutions de s\u00e9curit\u00e9.  Wazuh s&#8217;int\u00e8gre aux plates-formes open source de renseignement sur les menaces telles que <a rel=\"nofollow noopener\" href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/capabilities\/virustotal-scan\/\" target=\"_blank\">Virus total<\/a>URLHaus, MISP et <a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/blog\/detecting-known-bad-actors-with-wazuh-and-abuseipdb\/\" target=\"_blank\">AbusIPDB<\/a> pour n&#8217;en nommer que quelques-uns.  Selon l&#8217;int\u00e9gration, les alertes pertinentes apparaissent dans le tableau de bord Wazuh.  Des informations sp\u00e9cifiques, telles que les adresses IP, les hachages de fichiers et les URL, peuvent \u00eatre interrog\u00e9es \u00e0 l&#8217;aide de filtres sur le tableau de bord Wazuh.<\/p>\n<h3>Surveillance de l&#8217;int\u00e9grit\u00e9 des fichiers <\/h3>\n<p>La surveillance de l&#8217;int\u00e9grit\u00e9 des fichiers (FIM) est utilis\u00e9e pour surveiller et auditer les fichiers et dossiers sensibles sur les terminaux.  Wazuh fournit un module FIM qui surveille et d\u00e9tecte les modifications dans les r\u00e9pertoires ou fichiers sp\u00e9cifi\u00e9s sur le syst\u00e8me de fichiers d&#8217;un point de terminaison.  Le module FIM peut \u00e9galement d\u00e9tecter le moment o\u00f9 les fichiers introduits sur les points de terminaison correspondent aux hachages de logiciels malveillants connus. <\/p>\n<h3>Archives Wazuh<\/h3>\n<p>Les archives Wazuh peuvent \u00eatre activ\u00e9es pour collecter et stocker tous les \u00e9v\u00e9nements de s\u00e9curit\u00e9 ing\u00e9r\u00e9s \u00e0 partir des terminaux surveill\u00e9s.  Cette fonctionnalit\u00e9 aide les chasseurs de menaces en leur fournissant des donn\u00e9es qui peuvent \u00eatre utilis\u00e9es pour cr\u00e9er des r\u00e8gles de d\u00e9tection et garder une longueur d&#8217;avance sur les acteurs de la menace.  Les archives Wazuh sont \u00e9galement utiles pour respecter la conformit\u00e9 r\u00e9glementaire lorsque l&#8217;historique des journaux d&#8217;audit est requis. <\/p>\n<h2 style=\"text-align: left;\">Conclusion<\/h2>\n<p>Le cadre MITRE ATT&#038;CK permet de classer et d&#8217;identifier correctement les menaces en fonction des TTP d\u00e9couverts.  Wazuh utilise ses composants d\u00e9di\u00e9s MITRE ATT&#038;CK pour afficher des informations sur la fa\u00e7on dont les donn\u00e9es de s\u00e9curit\u00e9 des terminaux correspondent aux TTP.  Les capacit\u00e9s de chasse aux menaces de Wazuh aident les analystes en cybers\u00e9curit\u00e9 \u00e0 d\u00e9tecter les cyberattaques apparentes ainsi que les compromis sous-jacents \u00e0 l&#8217;infrastructure. <\/p>\n<p>Wazuh est une plate-forme gratuite et open source qui peut \u00eatre utilis\u00e9e par les organisations disposant d&#8217;une infrastructure cloud et sur site.  Wazuh poss\u00e8de l&#8217;un des open source \u00e0 la croissance la plus rapide <a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/community\/\" target=\"_blank\">communaut\u00e9<\/a> dans le monde, o\u00f9 l&#8217;apprentissage, les discussions et le soutien sont offerts sans frais.  Regarde \u00e7a <a rel=\"nofollow noopener\" href=\"https:\/\/documentation.wazuh.com\/current\/quickstart.html\" target=\"_blank\">Documentation<\/a> pour commencer avec Wazuh.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/threat-hunting-with-mitre-att-and-wazuh.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La chasse aux menaces est le processus de recherche d&#8217;activit\u00e9s malveillantes et de leurs artefacts dans un syst\u00e8me informatique ou un r\u00e9seau. La chasse aux menaces est effectu\u00e9e par intermittence dans un environnement, que des menaces aient \u00e9t\u00e9 d\u00e9couvertes ou non par des solutions de s\u00e9curit\u00e9 automatis\u00e9es. Certains acteurs de la menace peuvent rester inactifs [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[40832,507,84,4208,4168,4158,4165,4161,4157,4159,4171,4170,4167,4742,4160,40831,4163,4162,4172,4169,4166,4164,33573],"class_list":["post-469531","post","type-post","status-publish","format-standard","hentry","category-technologie","tag-attck","tag-aux","tag-avec","tag-chasse","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-menaces","tag-mises-a-jour-de-la-cybersecurite","tag-mitre","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-wazuh"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/469531","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=469531"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/469531\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=469531"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=469531"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=469531"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}