Qu'est-ce qu'une plateforme de renseignement sur les menaces (TIP) ?
Collectez, gérez et partagez des informations sur les menaces.
Objectif d'une plateforme de renseignement sur les menaces
Le paysage actuel de la cybersécurité est marqué par quelques problèmes courants : volumes de données massifs, manque d'analystes et attaques contradictoires de plus en plus complexes. Les infrastructures de sécurité actuelles proposent de nombreux outils pour gérer ces informations, mais peu d'intégration entre eux. Cela se traduit par des efforts d'ingénierie frustrants pour gérer les systèmes et un gaspillage inévitable de ressources et de temps déjà limités.
Pour lutter contre ces problèmes, de nombreuses entreprises choisissent de mettre en œuvre une plateforme de renseignement sur les menaces (TIP). Les plateformes de renseignement sur les menaces peuvent être déployées en tant que solution SaaS ou sur site pour faciliter la gestion des renseignements sur les cybermenaces et des entités associées telles que les acteurs, les campagnes, les incidents, les signatures, les bulletins et les TTP. Il se définit par sa capacité à exécuter quatre fonctions clés :
- Agrégation de renseignements provenant de sources multiples
- Curation, normalisation, enrichissement et évaluation des risques des données
- Intégrations avec les systèmes de sécurité existants
- Analyse et partage de renseignements sur les menaces
TIP défini
Menace
Possibilité pour toute autre partie d'accéder à un réseau d'information ou d'interférer avec le fonctionnement normal planifié d'un réseau d'information. Les menaces les plus courantes aujourd'hui sont les suivantes :
Renseignement
Connaissance d'une menace acquise par des analystes humains ou identifiée par des événements survenus au sein du système. Le renseignement est un terme général, mais un TIP présente aux analystes des types spécifiques de renseignements qui peuvent être automatisés, notamment :
Plateforme
Un produit complet qui s'intègre aux outils et produits existants, présentant un système de gestion des renseignements sur les menaces qui automatise et simplifie une grande partie du travail que les analystes effectuaient traditionnellement eux-mêmes.
Qui utilise un TIP ?
Une plateforme de renseignement sur les menaces est utile à de nombreuses parties au sein d'une organisation.
Les équipes du Security Operations Center (SOC)
Les clients de ThreatStream peuvent facilement essayer et acheter des informations sur les menaces auprès des partenaires de l'APP Store. Trouvez les informations adaptées à votre organisation, à votre secteur d'activité, à votre zone géographique, à votre type de menace, etc.
Équipes de renseignement sur les menaces
Les clients de ThreatStream peuvent essayer et acheter des services d'enrichissement de données, des sandbox et d'autres outils d'analyse directement auprès des partenaires de l'App Store d'Anomali. Identifiez les données d'enrichissement et les outils d'analyse appropriés pour ajouter du contexte à vos indicateurs.
Équipes de direction et de direction
ThreatStream fournit l'ensemble d'intégrations clés en main éprouvées le plus complet du secteur aux principaux contrôles de sécurité SIEM, EDR, pare-feu, SOAR et autres contrôles de sécurité d'entreprise, garantissant ainsi un retour sur investissement rapide.
Agrégation de données
Une plateforme de renseignement sur les menaces collecte et réconcilie automatiquement les données provenant de différentes sources et de différents formats. L'ingestion d'informations provenant de sources diverses est un élément essentiel pour disposer d'une infrastructure de sécurité solide. Les sources et formats pris en charge incluent :
Sources :
Formats :
Normalisation et enrichissement des données
La collecte de données sur une grande variété de flux permet de trier des millions d'indicateurs par jour, d'où l'importance d'un traitement efficace des données. Le traitement comprend plusieurs étapes mais comprend trois éléments principaux : la normalisation, la déduplication et l'enrichissement des données.
Il est coûteux de les résoudre en termes d'effort de calcul, de temps pour les analystes et d'argent. Une plateforme de renseignement sur les menaces automatise ces processus, permettant aux analystes d'analyser plutôt que de gérer les données collectées.
Intégrations
Les données qui ont été normalisées, vérifiées et enrichies doivent ensuite être transmises à des systèmes qui peuvent les utiliser à des fins d'application et de surveillance automatisées. L'objectif est de fournir à ces technologies ce qui est essentiellement une « cyberliste d'interdiction de vol », un peu comme le type de liste d'interdiction de vol que vous pourriez rencontrer dans un aéroport. Sur la base des connaissances de base, certaines adresses IP, certains domaines et autres ne doivent pas être accessibles ou autorisés sur le réseau.
Une plateforme de renseignement sur les menaces travaille en coulisse avec les fournisseurs de SIEM et de systèmes de gestion des journaux, en extrayant les indicateurs vers le bas pour passer aux solutions de sécurité au sein de l'infrastructure réseau du client. La charge de la mise en place et de la maintenance de ces intégrations est donc déchargée des analystes et transférée aux fournisseurs de SIEM et de TIP.
Les intégrations possibles de produits de sécurité incluent :
Analyse et réponse
Une plateforme de renseignement sur les menaces fournit des fonctionnalités qui facilitent l'analyse des menaces potentielles et les mesures d'atténuation correspondantes. Plus précisément, ces fonctionnalités aident les analystes à :
Un TIP prendra toutes les données, les enrichissements et les autres contextes disponibles possibles et affichera ces informations de manière à apporter de la valeur, par exemple dans des tableaux de bord, des règles, des alertes et des notes.
Une plateforme de renseignement sur les menaces aide également les analystes en automatisant les processus de recherche et de collecte, ce qui réduit considérablement les temps de réponse. Certaines fonctionnalités spécifiques de la partie analyse d'un Plateforme de renseignement sur les menaces inclure :
