Comment alléger la charge de travail du SIEM et utiliser correctement les flux de Threat Intelligence

Comment une plateforme de Threat Intelligence aide les analystes SOC.

Comment alléger la charge de travail du SIEM et utiliser correctement les flux de Threat Intelligence

Dans un premier temps, les systèmes SIEM ont été créés en tant qu’outil qui permet de recueillir des informations sur les événements de sécurité de l’infrastructure afin de pouvoir  les analyser grâce aux données externes sur les cybermenaces connues. Ils ont bien fait leur travail pendant un certain temps. Pourtant, les menaces et l’industrie de la sécurité des informations évoluent, et de plus en plus d’outils de Threat Intelligence apparaissent sur le marché. De plus, les structures changent de façon significative. Pour de nombreux experts, il est évident que les SIEM ont besoin d’un nouvel outil qui permettrait de naviguer sur les flux de Threat Intelligence pour fonctionner efficacement.

Pourquoi le SIEM a-t-il besoin d’un assistant ?

À première vue, on pourrait croire que plus vous connectez de flux de données externes sur les cybermenaces à votre système SIEM, plus il sera efficace. Pourtant, ce n’est pas le cas.

Tout d’abord, plus un système gère d’indicateurs, plus il génère d’alertes. Même si nous partons du principe qu’il y a un nombre minimum de faux positifs (personne n’en est à l’abri), un analyste serait incapable de naviguer rapidement parmi les millions de notifications en double et de donner la priorité aux plus importantes.

Ensuite, les systèmes SIEM existants n’ont tout simplement pas été conçus pour gérer un nombre infini d’indicateurs. Lorsque vous connectez plusieurs flux, la charge de travail du système augmente de façon considérable, ce qui peut avoir un effet négatif sur le taux de détection des incidents. Les conséquences pourraient être les mêmes si vous essayez de mettre en place un scénario de mises à jour fréquentes du flux de Threat Intelligence. Ce n’est pas impossible, mais cela pourrait nuire aux performances et au taux de détection.

De plus, le système SIEM n’est pas recommandé pour un travail plus détaillé et direct avec les flux de Threat Intelligence. Par exemple, il ne peut pas comparer la qualité et le taux de détection des flux d’autres fournisseurs ou gérer les différents types de masques des flux dont les indicateurs de compromission sont des URL, des hôtes ou des domaines. Si un analyste a besoin de plus d’informations pour un indicateur, il devra utiliser un autre outil. Peu importe si le contexte nécessaire existe dans les flux, le SIEM peut ne pas savoir comment y accéder. Enfin, n’oubliez pas le facteur économique. La plupart des systèmes SIEM offrent des licences basées sur la charge de travail : plus le système traite d’indicateurs, plus vous devrez payer.

Comment une plateforme de Threat Intelligence peut-elle vous aider ?

En général, une plateforme de Threat Intelligence peut résoudre tous les inconvénients des systèmes SIEM mentionnés ci-dessus. Pour commencer, il s’agit d’un outil indispensable qui vous permet de naviguer parmi une multitude de flux de différents fournisseurs. Vous pouvez connecter plusieurs flux (pas forcément dans le même format) et les comparer selon divers paramètres. Par exemple, vous pouvez détecter des croisements d’indicateurs dans différents flux, ce qui devrait vous aider à identifier les flux de données en double et d’éventuellement en rejeter certains. Vous pouvez aussi comparer les flux selon les indices statistiques de détection. Étant donné que certains fournisseurs proposent une période d’essai pour utiliser leurs flux, cela pourrait vous permettre d’évaluer leur efficacité avant de les acheter.

Une plateforme de Threat Intelligence offre de nombreuses compétences supplémentaires à l’analyste SOC, ce que le SIEM ne peut pas faire. Par exemple, il y a une fonction de rétro-analyse qui permet de revérifier les données et les registres historiques sauvegardés auparavant en référence aux nouveaux flux. Une autre fonctionnalité est l’enrichissement des indicateurs à partir de diverses sources tierces, comme VirusTotal. Enfin, une plateforme de Threat Intelligence décente, en commençant par une alerte spécifique, permet de trouver et de télécharger un rapport APT qui détaille les tactiques, les techniques et les procédures des cybercriminels associés, et donne des conseils pratiques quant à l’application de contre-mesures.

Une plateforme de Threat Intelligence vous permet de filtrer et de télécharger les indicateurs, de classer les incidents, de présenter toutes les informations précédentes sous la forme d’une interface graphique pratique pour l’analyste, et de faire bien d’autres choses. Tout dépend des fonctions de chaque plateforme.

Comment une plateforme de Threat Intelligence s’adapte-t-elle au travail de l’analyste et au SIEM ?

Dans l’ensemble, la plateforme de Threat Intelligence installée sur le réseau interne d’une entreprise réalise le processus d’analyse et de corrélation des données entrantes, ce qui allège de façon considérable la charge de travail du système SIEM. Cette plateforme vous permet de générer vos propres alertes lorsque des menaces sont détectées. De plus, elle s’intègre aux processus existants de surveillance et de réponse via une API.

Sur le fond, une plateforme de Threat Intelligence génère son propre flux de données avec les détections, un flux personnalisé selon les besoins de votre entreprise. C’est particulièrement utile si vous avez plusieurs systèmes SIEM qui s’exécutent en parallèle au sein de votre infrastructure. Sans une plateforme de Threat Intelligence, vous devrez charger les flux bruts dans chaque système.

Un exemple concret

Prenons l’exemple d’un indicent assez simple pour voir comment une plateforme de Threat Intelligence aide les analystes. Imaginez que l’utilisateur d’une entreprise a accédé à un site depuis son ordinateur professionnel. L’URL du site est classée comme malveillante dans le flux d’informations sur les menaces. Ainsi, la plateforme identifie l’incident, l’enrichit à partir des informations des flux et envoie cette détection au système SIEM pour qu’elle soit enregistrée. Ensuite, cet incident arrive à l’analyste SOC. Ce dernier voit la détection du flux de l’URL malveillante et décide de l’étudier de plus près en utilisant une plateforme de Threat Intelligence.

Il peut ouvrir les informations contextuelles disponibles dans le flux de Threat Intelligence directement depuis la liste des détections : adresse IP, hachage du fichier malveillant associé avec cette adresse, verdicts de la solution de sécurité, données du service WHOIS, etc. Pour plus de clarté, une interface graphique s’ouvre. C’est le plus pratique pour analyser la chaîne d’attaque.

Pour l’instant, il n’y a pas plus d’informations : l’outil voit la détection, l’URL malveillante trouvée et l’adresse IP interne de la machine que la personne a utilisé pour ouvrir l’URL. En cliquant sur l’icône de l’URL malveillante, la plateforme demande les indicateurs connus pour l’adresse : adresses IP, URL supplémentaires ou encore hachage du fichier malveillant téléchargé à un moment.

L’étape suivante consiste à vérifier si d’autres détections ont été enregistrées au sein de l’infrastructure de l’entreprise en utilisant les mêmes indicateurs. L’analyste clique sur n’importe quel objet, par exemple l’adresse IP malveillante, et affiche les autres détections sur le graphique. En d’autres termes, il peut savoir en un clic quel utilisateur a ouvert quelle adresse IP, ou quelle machine a reçu l’adresse IP en réponse à la requête d’URL au serveur DNS. De même, la plateforme vérifie quels utilisateurs ont téléchargé le fichier dont le hachage apparaît dans les indicateurs associés.

Il peut y avoir des milliers de détections lors d’un seul incident, et il serait difficile de les trier manuellement sans l’interface graphique facile à utiliser de la plateforme de Threat Intelligence. Tout le contexte disponible grâce aux flux de données sur les cybermenaces est affiché dans le graphique. L’analyste peut regrouper ou masquer les objets, et appliquer le regroupement automatique des nœuds. Si l’analyste à d’autres sources d’informations, il peut ajouter manuellement un indicateur et marquer de façon indépendante les corrélations.

Ainsi, l’expert peut reconstruire la chaîne d’attaque complète et comprendre comment tout a commencé. Par exemple, l’utilisateur a saisi l’URL d’un site malveillant, le serveur DNS a renvoyé l’adresse IP et ce même utilisateur a téléchargé un fichier avec un hachage connu depuis le site.

Conclusion

Une plateforme de Threat Intelligence de haute qualité agit comme lien intermédiaire, ce qui vous permet d’alléger de façon significative la charge de travail du système SIEM sans compromettre la qualité de la détection et tout en simplifiant le travail de l’analyste.

Conseils