Purpose of a Threat Intelligence Platform
Le paysage actuel de la cybersécurité est marqué par quelques problèmes courants : volumes de données massifs, manque d'analystes et attaques contradictoires de plus en plus complexes. Les infrastructures de sécurité actuelles proposent de nombreux outils pour gérer ces informations, mais peu d'intégration entre eux. Cela se traduit par des efforts d'ingénierie frustrants pour gérer les systèmes et un gaspillage inévitable de ressources et de temps déjà limités.
Threat Intelligence Platform (TIP) Definition:
Threat Intelligence Platforms can be deployed as a SaaS or on-premise solution to facilitate the management of cyber threat intelligence and associated entities such as actors, campaigns, incidents, signatures, bulletins, and TTPs. It is defined by its capability to perform four key functions:
- Agrégation de renseignements provenant de sources multiples
- Curation, normalisation, enrichissement et évaluation des risques des données
- Intégrations avec les systèmes de sécurité existants
- Analyse et partage de renseignements sur les menaces
TIP défini
Menace
Possibilité pour toute autre partie d'accéder à un réseau d'information ou d'interférer avec le fonctionnement normal planifié d'un réseau d'information. Les menaces les plus courantes aujourd'hui sont les suivantes :
Renseignement
Connaissance d'une menace acquise par des analystes humains ou identifiée par des événements survenus au sein du système. Le renseignement est un terme général, mais un TIP présente aux analystes des types spécifiques de renseignements qui peuvent être automatisés, notamment :
Plateforme
Un produit complet qui s'intègre aux outils et produits existants, présentant un système de gestion des renseignements sur les menaces qui automatise et simplifie une grande partie du travail que les analystes effectuaient traditionnellement eux-mêmes.
Qui utilise un TIP ?
Une plateforme de renseignement sur les menaces est utile à de nombreuses parties au sein d'une organisation.
Les équipes du Security Operations Center (SOC)
Les clients de ThreatStream peuvent facilement essayer et acheter des informations sur les menaces auprès des partenaires de l'APP Store. Trouvez les informations adaptées à votre organisation, à votre secteur d'activité, à votre zone géographique, à votre type de menace, etc.
Threat intelligence teams
ThreatStream customers can trial and purchase data enrichment services, sandboxes, and other analytic tools directly from Anomali APP Store partners. Identify the right enrichment data and analysis tools to add context to your indicators.
Management and executive teams
ThreatStream provides the industry’s most complete set of proven, turnkey integrations into leading enterprise SIEM, EDR, firewall, SOAR, and other security controls, delivering fast time to value.
Agrégation de données
Une plateforme de renseignement sur les menaces collecte et réconcilie automatiquement les données provenant de différentes sources et de différents formats. L'ingestion d'informations provenant de sources diverses est un élément essentiel pour disposer d'une infrastructure de sécurité solide. Les sources et formats pris en charge incluent :
Sources :
Formats :
Normalisation et enrichissement des données
La collecte de données sur une grande variété de flux permet de trier des millions d'indicateurs par jour, d'où l'importance d'un traitement efficace des données. Le traitement comprend plusieurs étapes mais comprend trois éléments principaux : la normalisation, la déduplication et l'enrichissement des données.
Il est coûteux de les résoudre en termes d'effort de calcul, de temps pour les analystes et d'argent. Une plateforme de renseignement sur les menaces automatise ces processus, permettant aux analystes d'analyser plutôt que de gérer les données collectées.
Intégrations
Les données qui ont été normalisées, vérifiées et enrichies doivent ensuite être transmises à des systèmes qui peuvent les utiliser à des fins d'application et de surveillance automatisées. L'objectif est de fournir à ces technologies ce qui est essentiellement une « cyberliste d'interdiction de vol », un peu comme le type de liste d'interdiction de vol que vous pourriez rencontrer dans un aéroport. Sur la base des connaissances de base, certaines adresses IP, certains domaines et autres ne doivent pas être accessibles ou autorisés sur le réseau.
Une plateforme de renseignement sur les menaces travaille en coulisse avec les fournisseurs de SIEM et de systèmes de gestion des journaux, en extrayant les indicateurs vers le bas pour passer aux solutions de sécurité au sein de l'infrastructure réseau du client. La charge de la mise en place et de la maintenance de ces intégrations est donc déchargée des analystes et transférée aux fournisseurs de SIEM et de TIP.
Les intégrations possibles de produits de sécurité incluent :
Analyse et réponse
Une plateforme de renseignement sur les menaces fournit des fonctionnalités qui facilitent l'analyse des menaces potentielles et les mesures d'atténuation correspondantes. Plus précisément, ces fonctionnalités aident les analystes à :
Un TIP prendra toutes les données, les enrichissements et les autres contextes disponibles possibles et affichera ces informations de manière à apporter de la valeur, par exemple dans des tableaux de bord, des règles, des alertes et des notes.
Une plateforme de renseignement sur les menaces aide également les analystes en automatisant les processus de recherche et de collecte, ce qui réduit considérablement les temps de réponse. Certaines fonctionnalités spécifiques de la partie analyse d'un Plateforme de renseignement sur les menaces inclure :