La chasse aux menaces est une expression très tendance dans l’univers de la cybersécurité, mais de quoi s’agit-il réellement? Les fonctionnalités proposées par LogPoint permettant cette chasse aux menaces, notamment l’analyse avancée, l’enrichissement, les corrélations, l’UEBA et la création de rapports, vous permettront de renforcer votre stratégie globale en matière de sécurité en utilisant une interface unique.

LogPoint utilise également des flux d’information sur les menaces pour automatiser certains aspects de cette chasse. Les flux d’information sur les menaces sont utilisés au moment de l’ingestion. Ainsi, lorsque les données nous parviennent, elles sont évaluées par rapport à tous les flux d’information sur les menaces configurés et connus.

Les informations sur les menaces sont également utilisées au moment de l’analyse, permettant ainsi aux analystes de soumettre n’importe quelle quantité de données historiques à évaluer par rapport aux flux d’information les plus récents concernant les menaces, afin de déterminer si elles correspondent à de nouvelles connaissances sur des attaques. Ces alertes corrélées et évaluées peuvent ensuite être transférées vers un outil tiers de réponse aux incidents pour orchestration et remédiation.

L’intégration des réponses aux incidents de LogPoint fournit des workflows automatisés pour l’enrichissement du contexte commercial, la détection des menaces et la corrélation des données de log avec les données du réseau. En fonction du workflow de votre entreprise, votre équipe de sécurité sera habilitée à collecter efficacement des preuves, à les compiler pour en dégager une vision globale et enfin à lancer une remédiation.

Pour démontrer le fonctionnement réel de la chasse aux menaces, nous avons élaboré un scénario commençant par des infections de fichiers détectées à l’aide de LogPoint. Dans cet exemple, nous utilisons nos labels pour identifier rapidement les fichiers infectés.

Étape 1: Mise en place du contexte

Exemple:
File infections detected

Requête:
label=Detect label=File label=Infection | chart count() by sender,sender_domain,hash, receiver

LogPoint SIEM use cases File infections detected

Explorez la première ligne et identifiez la checksum.

LogPoint SIEM use cases Identifying Checksum

Utilisez la checksum pour accéder à Virus Total.

LogPoint SIEM use cases Virus Total

Conclusion: tirez la sonnette d’alarme et poursuivez les investigations nécessaires pour enquêter sur les impacts potentiels de cette infection.

Étape 2: Tirez la sonnette d’alarme

Créez un incident pour pouvoir mettre en place un suivi.

LogPoint SIEM use cases Raise flag
LogPoint use cases Raise Flag
LogPoint SIEM use cases Raise flag

Étape 3: Investigation

Appliquez le hachage identifié en tant que filtre.

LogPoint SIEM use cases Identified Hash as Filter

Choisissez chaque utilisateur associé aux emails du destinataire.

L’utilisateur Rita affiche des tentatives de connexion infructueuses au niveau de divers serveurs.

LogPoint SIEM use cases User Multiple Failed Logins

Allez à la page de recherche pour voir les détails.

Example:
Échec de la tentative de connexion pour un utilisateur spécifique

Query:
label=Login label=Fail user="rita.mm" | chart count() by source_address,workstation,user,host order by count() desc

LogPoint SIEM use cases Failed login attempt for specific user

Choisissez l’une des adresses IP source utilisées par l’utilisateur Rita pour vérifier si d’autres tentatives ont échoué ou non.

Example:
Échec de la tentative de connexion pour une source spécifique

Query:
label=Login label=Fail source_address=192.168.2.101 | chart count() by source_address,workstation,user,host

Nous observons qu’avec la source 192.168.2.101, il y a eu 4 tentatives infructueuses en provenance de la même source.

Explorez cet événement.

Example:
Échec de la tentative de connexion au niveau de plusieurs filtres via un échec du sous-état

Query:
user="bill.cork" source_address=192.168.2.101 host="DC1-LOGPOINTBANK.LOCAL" label=Login label=Fail | chart count() by source_address, sub_status_code

Nous observons qu’un compte désactivé tente de se connecter au contrôleur de domaine, le code de sous-état 0xC0000072 étant en fait lié à l’échec de la connexion sur un compte désactivé.

LogPoint SIEM use cases Failed login attempt on multiple filters by failure sub status

Revenons maintenant au modèle de recherche pour vérifier les IOC associés à la source 192.168.2.101.

LogPoint SIEM use cases IOCs associated with source

Nous explorons la catégorie « Malware Command And Control » pour vérifier les autres adresses source qui lui sont associées.

Exemple:
Indicateurs de menace pour la commande et le contrôle des malwares

Requête:
category="Malware Command And Control" | chart count() by source_address

Étape 4: Remédiation / création de rapports

Au cours du processus d’investigation sur les menaces, nous identifions que l’utilisateur Rita a été compromis et doit être désactivé. Alors que l’utilisateur Rob devrait, quant à lui, être supprimé s’il n’est plus censé être activé de nouveau à l’avenir.

Menez des investigations supplémentaires sur l’incident pour vérifier si les indicateurs de menace identifiés ont déjà montré des signes d’activités par le passé.

Exemple:
Threat indicators for malware command and control appended to list

Requête:
category="Malware Command And Control" | chart count() by destination_address | process toList(ACTIVE_IOCS,destination_address)

LogPoint SIEM use cases Threat indicators for malware command and control appended to list

Recherchez dans l’historique des évènements toutes les activités associées aux adresses IP de la liste ACTIVE_IOCS.

Exemple:
Entities observed in list of threat indicators

Requête:
source_address IN ACTIVE_IOCS OR destination_address IN ACTIVE_IOCS

Les systèmes infectés doivent être nettoyés et la règle du firewall doit être mise à jour pour bloquer les connexions aux « Serveurs de commande et de contrôle ».

LogPoint SIEM use cases Entities observed in list of threat indicators