//Threat Intelligence

Optimisez les performances de vos analystes de sécurité grâce aux renseignements sur les menaces (Threat Intelligence)

Pour détecter les menaces avancées, il est indispensable de comprendre vos vulnérabilités et de disposer de l’expérience et des renseignements appropriés permettant d’atténuer ces menaces. Même s’il n’est pas facile d’identifier les indicateurs de risque réel et qu’il est impossible d’être prêt à affronter chaque nouvelle menace, exploiter au mieux les sources d’informations disponibles aidera votre entreprise à hiérarchiser les menaces et à élargir votre protection en cas d’attaque.

La Threat intelligence (TI), un des éléments d’une stratégie de cybersécurité holistique, vous aide à comprendre les risques liés aux menaces externes les plus courantes et les plus sévères telles que les zero-days, les menaces persistantes avancées (APT) et les exploits. Avec ce module, vous pouvez collecter et analyser des données sur les menaces les plus récentes issues de sources très diverses. Les renseignements sur les menaces, couramment appelés Threat Intelligence et émanant des fournisseurs de sécurité, des communautés du renseignement ou de connexions à votre propre réseau, vous permettent de repousser les attaques en lançant des actions de sécurité pour stopper les comportements malveillants et éviter les incidents.

Nous sommes convaincus que la Threat Intelligence est l’un des aspects de la cybersécurité qu’aucun responsable d’un réseau ne peut se permettre d’ignorer. Le rôle de ce module dans la défense du réseau est désormais prouvé et les données sur les menaces collectées sont d’une grande valeur pour les entreprises. En effet, elles fournissent aux décideurs une base fiable pour valider l’intérêt et l’impact de leurs décisions.

Demandez une démo

Voulez-vous voir par vous-même comment LogPoint a redéfini le SIEM et UEBA ? Planifiez une démo ci-dessous et découvrez comment LogPoint fonctionne avec différentes sources de données.

La proactivité est fondamentale

Les flux en temps réel associent les renseignements et les apprentissages antérieurs provenant d’autres organisations en une source unique qui fournit des informations contextuelles à votre équipe pour qu’elle fasse des choix stratégiques mieux informés et parvienne donc à atténuer les attaques.

Cependant, identifier une menace dans le volume des informations collectées revient à chercher une aiguille dans une botte de foin. Vous pouvez alors vous demander :

  • Qu’est-ce que je recherche ?
  • Comment puis-je distinguer les activités normales des activités malveillantes susceptibles d’indiquer une attaque ?

La raison pour laquelle certains considèrent l’intégration des solutions SIEM et TI comme une épée à double tranchant est liée à l’absence d’échantillonnage. Chez LogPoint, nous estimons que ce n’est pas le volume d’informations mais plutôt un déploiement approprié qui donne des résultats.

Bien que l’analyse permanente des données des logs de l’entreprise soit à elle seule utile, une protection de nouvelle génération contre les menaces avancées est uniquement possible en comparant vos données internes avec les indicateurs de compromission pertinents. En exploitant au maximum vos données internes par rapport aux menaces auxquelles votre secteur est le plus exposé, le SIEM de LogPoint intégré à des flux de Threat Intelligence offre une solution hautement spécialisée qui permet d’obtenir les meilleurs renseignements à partir des données de logs de votre entreprise et de garantir ainsi des performances optimales.

L’intégration du SIEM et de la Threat Intelligence fournit au client une corrélation et une gestion des menaces encore plus rapides pour renforcer leur capacité à surveiller, gérer et remédier les cybermenaces. En s’appuyant sur l’architecture de LogPoint, les entreprises peuvent désormais corréler encore plus vite de nombreux indicateurs de menaces générés dans leur périmètre avec des indicateurs de compromission de menaces externes.

Ainsi, votre équipe en charge de la sécurité peut défendre vos actifs critiques de manière proactive et vous permettre aussi d’avoir le meilleur niveau de conscience situationnelle afin que vous sachiez toujours :

  • Quand votre entreprise a été attaquée
  • Si une nouvelle attaque potentielle est en préparation
  • Qui est ciblé dans votre entreprise et pourquoi
  • Les vulnérabilités que les attaquants prévoient d’exploiter
  • Threat Intelligence propulsée par le SIEM LogPoint

    L’application Threat Intelligence de LogPoint propose une plateforme d’alerte simple et efficace pour identifier les menaces émergentes au sein de votre infrastructure en intégrant plus de 100 flux de renseignements sur les menaces. Grâce à la taxonomie unique de LogPoint, les données sont converties dans un format de langage commun que LogPoint va comparer avec les données de logs de votre entreprise.

    Les analystes peuvent ainsi automatiser l’interrogation des événements et filtrer des centaines de milliers d’indicateurs de compromission pour vous alerter sur les attaques connues. Une protection efficace de l’infrastructure organisationnelle repose nécessairement sur une connaissance des techniques caractéristiques d’une menace pour identifier et collecter des données sur la méthodologie d’une attaque ou sur une autre preuve de compromission.

    Avec LogPoint, le partage de ces informations a lieu à une vitesse vertigineuse et en temps quasi réel. Réaliser une analyse des informations utiles permettant de contrer diverses menaces est toujours un défi plus complexe car il faut tenir compte de l’évolution permanente des risques et des méthodes d’attaque.
    LogPoint filtre des centaines de milliers d’indications de compromission pour vous alerter sur les menaces connues. De plus, une alerte à propos d’une menace éventuelle déclenche une action, par exemple le blocage des mauvaises adresses IP connues.

    Une plate-forme souple qui répond aux besoins de votre entreprise

    La Threat Intelligence intégrée à LogPoint permet de déclencher des alertes quelles que soient la structure, la taxonomie et la sémantique des données. Avec l’application Threat Intelligence de LogPoint, profitez d’un large éventail de flux de renseignements sur les menaces d’origine commerciale, communautaire et open source, notamment Emerging Threats ou Critical Stack, et provenant aussi de fournisseurs conformes aux normes STIX/TAXII. LogPoint prend également en charge le format CSV pour les flux de Threat Intelligence et fournit un aperçu inter-plateforme en temps réel des menaces potentielles. Votre équipe en charge de la sécurité peut ainsi éliminer efficacement les faux positifs et se concentrer sur la découverte des menaces avancées. Qui plus est, les flux de Threat Intelligence peuvent être construits à la demande.

    Comment ça marche ?

    LogPoint Threat Intelligence Indicators

    Défi

    Identifier l’indicateur de menaces tout en traitant de gros volumes de logs.

    Solution

    Les analystes peuvent utiliser des requêtes avec des commandes génériques pour les renseignements sur les menaces afin de filtrer uniquement les indicateurs de menaces critiques. Avec LogPoint, le filtrage peut être générique et vous fournir ainsi toutes les correspondances avec la base de données des renseignements sur les menaces ou bien se concentrer sur une certaine catégorie ou un certain score de menaces. Grâce à cette approche, vos analystes peuvent simplifier le processus d’enquête et se concentrer sur les vraies menaces.

    Exemple de requête :
    source_address IN HOMENET | process ti(destination_address) | chart count() as cnt by cs_score, source_address order by cnt desc

    LogPoint Threat Intelligence Indicators
    LogPoint Threat Intelligence Geographical Distribution

    Défi

    Difficulté pour définir le véritable état des risques de cybersécurité.

    Solution

    Grâce au score indicateur de menace enrichissant notre taxonomie unique, les analystes peuvent exploiter des mécanismes de réponse aux incidents entièrement automatisés en s’appuyant sur des requêtes permettant une comparaison numérique. Cela leur permet également de comprendre la distribution géographique des sources d’attaque.

    Il est possible de définir des requêtes d’alerte à partir des scores indicateurs de menaces, des valeurs/fonctions de risque et du pays d’origine de chacune de ces alertes. Ainsi, notre équipe en charge de la sécurité peut faire des choix stratégiques mieux informés qui produiront une réponse et une remédiation des incidents plus efficaces que jamais.

    Exemple de requête :
    norm_id=* | process ti(destination_address) | search cs_score>80 | process geoip(destination_address) as country | chart count() by country() order by count() desc

    LogPoint Threat Intelligence Enrichment

    Défi

    Impossible d’obtenir une analyse historique.

    Solution

    Grâce à un enrichissement statique et dynamique, les analystes peuvent profiter d’un ensemble unique d’options et exploiter au mieux les renseignements sur les menaces dans LogPoint.

    En enrichissant de manière statique un quelconque indicateur de menaces (adresse IP ou nom de domaine), vos analystes peuvent voir instantanément les risques potentiels. Avec l’application Threat Intelligence de LogPoint, le risque est toujours expliqué par un certain nombre de paires clé-valeur enrichies telles que la catégorie et le score de risques. Ces paires clé-valeur seront ensuite indexées et stockées sur les disques jusqu’à leur suppression par la politique de conservation.

    Dans la mesure où les sources de menaces ne peuvent pas toujours être détectées en temps quasi réel, des attaques sérieuses passent parfois inaperçues. Pour éviter ce genre de scénario, les analystes peuvent s’appuyer sur l’enrichissement dynamique fourni par LogPoint pour enquêter de manière rétroactive sur les attaques et découvrir des indicateurs difficiles à cerner.

    Exemple de requête :
    Statique : Sans la commande « process ti() »
    norm_id=* source_address IN HOMENET | chart count() by cs_category, cs_score, source_address, destination_address

    Dynamique : Avec la commande « process ti() »
    norm_id=* | process ti(destination_address)

    LogPoint Threat Intelligence Enrichment

    + 1 Support STIX/TAXII

    STIX/TAXII utilise l’API RESTful avec une définition spéciale de services et de messages pour l’échange de données. LogPoint consomme le flux STIX 1.x au format JSON en envoyant des requêtes API au serveur STIX/TAXII.

    Paramètres requis :

    • url : nom d’hôte complet du serveur de flux
    • user name : identification pour accéder au flux
    • password : mot de passe pour l’authentification
    • fetch interval : récupération des informations
    • age limit : intervalle de temps pendant lequel le flux est retenu

    Une fois que LogPoint a consommé le flux de menaces, ce dernier est analysé selon la taxonomie standard de l’application Threat Intelligence de LogPoint pour une configuration facile et rapide.

    En bonus

    L’application Threat Intelligence de LogPoint est un plug-in gratuit inclus dans la licence LogPoint. Pour le télécharger, rendez-vous sur notre Centre d’assistance.