Apporter aux analystes des connaissances sur leurs investigations et réponses aux incidents

Sans renseignement cyber de qualité, votre équipe d’analystes subit.

Sans renseignement cyber de qualité, votre équipe d’analystes subit.

Face aux changements constants des modes opératoires des attaquants, les entreprises sont confrontées à un enjeu de taille. Elles doivent maintenir une connaissance de la menace et des attaquants pour neutraliser les tentatives d’intrusion.

Pour relever ce défi, leurs équipes en charge de la sécurité informatique ne peuvent plus se restreindre à l’usage des outils de collecte d’évènements de sécurité. Ces données – bien qu’importantes pour une couverture complète du SI – perdent leur valeur si les équipes ne sont pas en mesure de les analyser.

 

Equipez votre équipe SOC d’une CTI au service de la détection et de la remédiation

 

Chez SEKOIA.IO, nous avons développé une plateforme SOC qui ne se contente pas seulement de remplir les fonctions d’un SIEM (Security Information & Event Management) classique.

Notre plateforme intègre nativement, dans son principe de fonctionnement, une CTI (données de renseignement sur les menaces). La CTI (Cyber Threat Intelligence) contribue à la recherche, à l’analyse, à la contextualisation et à la modélisation des menaces cyber. En d’autres termes, elle sert à décrire une attaque informatique au travers d’éléments contextualisés et indicateurs compréhensibles aussi bien par les hommes que les machines. On y trouve par exemple, les rapports sur les menaces les plus récentes, les campagnes, les malware et acteurs malveillants, leurs TTPs avec MITRE ATT&CK.
S’appuyant sur le format STIX 2.1, sa présence permet à vos analystes de disposer (en cas d’alerte) de toutes les données de contexte nécessaires à :

• Une meilleure évaluation du niveau de priorité de l’incident
• L’élaboration des contre-mesures défensives

Réduisez les fausses alertes avec une CTI contextualisée

 

Au sein de notre plateforme SOC, le renseignement autour des menaces est au cœur de la détection. Ce renseignement cyber traite des activités cybercriminelles et des menaces dites persistantes et avancées (APT) liées à des acteurs étatiques. Il est construit à partir de sources ouvertes et exclusives. Il permet de collecter en temps réel, des milliers d’indicateurs de compromission. 

Pour réduire le taux de faux positifs autour de ces indicateurs de compromission collectés et mis au service de nos utilisateurs, nous accordons donc une importance à leur contextualisation. Chaque indicateur se voit attribuer une période de validité. Il est également soumis à un processus de contrôle afin de parvenir à un taux de faux positifs quasi nul.

Simplifiez, améliorez, accélérez les activités de remédiation avec une CTI actionnable

Simplifiez, améliorez, accélérez les activités de remédiation avec une CTI actionnable

Lorsque vos analystes disposent de suffisamment d’éléments de contexte autour des évènements et alertes, cela leur assure un gain de temps dans le triage et la qualification. Ils/elles ont également la possibilité :

• D’apprécier l’urgence à traiter une alerte
• Formuler des mesures de défense appropriées ; sur la base des connaissances contextualisées qui sont produites autour des malware identifiés, les groupes d’attaquants, TTPs et campagnes associées.