Qu'est-ce qu'une plateforme de renseignement sur les menaces?

Collectez, gérez et partagez des informations sur les menaces.

Objectif d'une plateforme de renseignement sur les menaces

Le paysage actuel de la cybersécurité est marqué par quelques problèmes courants : volumes de données massifs, manque d'analystes et attaques contradictoires de plus en plus complexes. Les infrastructures de sécurité actuelles proposent de nombreux outils pour gérer ces informations, mais peu d'intégration entre eux. Cela se traduit par des efforts d'ingénierie frustrants pour gérer les systèmes et un gaspillage inévitable de ressources et de temps déjà limités.

Définition de la plateforme de renseignement sur les menaces:


Les plateformes de renseignement sur les menaces peuvent être déployées en tant que solution SaaS ou sur site pour faciliter la gestion des renseignements sur les cybermenaces et des entités associées telles que les acteurs, les campagnes, les incidents, les signatures, les bulletins et les TTP. Il se définit par sa capacité à exécuter quatre fonctions clés :

  • Agrégation de renseignements provenant de sources multiples
  • Curation, normalisation, enrichissement et évaluation des risques des données
  • Intégrations avec les systèmes de sécurité existants
78 %
Déclarez que le renseignement sur les menaces est essentiel pour renforcer votre posture de sécurité
70 %
Les entreprises se disent submergées par les données sur les cybermenaces

Plateforme de renseignement sur les menaces défini

Menace

Possibilité pour toute autre partie d'accéder à un réseau d'information ou d'interférer avec le fonctionnement normal planifié d'un réseau d'information. Les menaces les plus courantes aujourd'hui sont les suivantes :

APT
botnets
DDOS
Un ransomware

Renseignement

Connaissance d'une menace acquise par des analystes humains ou identifiée par des événements survenus au sein du système. Le renseignement est un terme général, mais un TIP présente aux analystes des types spécifiques de renseignements qui peuvent être automatisés, notamment :

Connaissance technique des attaques, y compris des indicateurs
Renseignement fini : production d'êtres humains examinant les informations disponibles et tirant des conclusions sur la connaissance de la situation, la prédiction des résultats potentiels ou des attaques futures, ou l'estimation des capacités de l'adversaire
Intelligence humaine : toute information recueillie par des humains, par exemple en se cachant dans les forums pour détecter toute activité suspecte

Plateforme

Un produit complet qui s'intègre aux outils et produits existants, présentant un système de gestion des renseignements sur les menaces qui automatise et simplifie une grande partie du travail que les analystes effectuaient traditionnellement eux-mêmes.

Qui utilise un plateforme de renseignement sur les menaces?

Une plateforme de renseignement sur les menaces est utile à de nombreuses parties au sein d'une organisation.

Les équipes du Security Operations Center (SOC)

Les clients de ThreatStream peuvent facilement essayer et acheter des informations sur les menaces auprès des partenaires de l'APP Store. Trouvez les informations adaptées à votre organisation, à votre secteur d'activité, à votre zone géographique, à votre type de menace, etc.

Équipes de renseignement sur les menaces

Les clients de ThreatStream peuvent essayer et acheter des services d'enrichissement de données, des sandbox et d'autres outils d'analyse directement auprès des partenaires de l'App Store d'Anomali. Identifiez les données d'enrichissement et les outils d'analyse appropriés pour ajouter du contexte à vos indicateurs.

Équipes de direction et de direction

ThreatStream fournit l'ensemble d'intégrations clés en main éprouvées le plus complet du marché aux principaux contrôles de sécurité SIEM, EDR, pare-feu, SOAR et autres contrôles de sécurité d'entreprise, garantissant ainsi un retour sur investissement rapide.

Agrégation de données

Une plateforme de renseignement sur les menaces collecte et réconcilie automatiquement les données provenant de différentes sources et de différents formats. L'ingestion d'informations provenant de sources diverses est un élément essentiel pour disposer d'une infrastructure de sécurité solide. Les sources et formats pris en charge incluent :

Sources :

Open source
Payé par un tiers
Gouvernement
Communautés de partage fiables (ISAC)
Interne

Formats :

STIX/TAXI
JSON et XML
Courrier électronique
Fichier CSV, TXT, PDF, Microsoft Word

Normalisation et enrichissement des données

La collecte de données sur une grande variété de flux permet de trier des millions d'indicateurs par jour, d'où l'importance d'un traitement efficace des données. Le traitement comprend plusieurs étapes mais comprend trois éléments principaux : la normalisation, la déduplication et l'enrichissement des données.

Il est coûteux de les résoudre en termes d'effort de calcul, de temps pour les analystes et d'argent. Une plateforme de renseignement sur les menaces automatise ces processus, permettant aux analystes d'analyser plutôt que de gérer les données collectées.

Normalisation — Consolidation des données dans différents formats de sources
Déduplication — Suppression des informations dupliquées
Enrichissement — Suppression des faux positifs, notation des indicateurs et ajout de contexte

Intégrations

Les données qui ont été normalisées, vérifiées et enrichies doivent ensuite être transmises à des systèmes qui peuvent les utiliser à des fins d'application et de surveillance automatisées. L'objectif est de fournir à ces technologies ce qui est essentiellement une « cyberliste d'interdiction de vol », un peu comme le type de liste d'interdiction de vol que vous pourriez rencontrer dans un aéroport. Sur la base des connaissances de base, certaines adresses IP, certains domaines et autres ne doivent pas être accessibles ou autorisés sur le réseau.

Une plateforme de renseignement sur les menaces travaille en coulisse avec les fournisseurs de SIEM et de systèmes de gestion des journaux, en extrayant les indicateurs vers le bas pour passer aux solutions de sécurité au sein de l'infrastructure réseau du client. La charge de la mise en place et de la maintenance de ces intégrations est donc déchargée des analystes et transférée aux fournisseurs de SIEM et de TIP.

Les intégrations possibles de produits de sécurité incluent :

SIEM
Point final
Pare-feu
CONSEILS
API

Analyse et réponse

Une plateforme de renseignement sur les menaces fournit des fonctionnalités qui facilitent l'analyse des menaces potentielles et les mesures d'atténuation correspondantes. Plus précisément, ces fonctionnalités aident les analystes à :

Explorez les menaces
Fournir des flux de travail d'investigation
Comprendre le contexte général et les implications des menaces
Partagez des informations

Un TIP prendra toutes les données, les enrichissements et les autres contextes disponibles possibles et affichera ces informations de manière à apporter de la valeur, par exemple dans des tableaux de bord, des règles, des alertes et des notes.

Une plateforme de renseignement sur les menaces aide également les analystes en automatisant les processus de recherche et de collecte, ce qui réduit considérablement les temps de réponse. Certaines fonctionnalités spécifiques de la partie analyse d'un Plateforme de renseignement sur les menaces inclure :

Soutien à l'expansion des indicateurs et à la recherche
Processus d'escalade et de réponse aux incidents
Processus de flux de travail des analystes
Produire des produits de renseignement et les partager avec les parties prenantes