Apporter aux analystes des connaissances sur leurs investigations et réponses aux incidents

Abstract picture

Sans renseignement cyber de qualité, votre équipe d’analyste subit et non agit…

Face aux changements constants des modes opératoires des attaquants, les entreprises sont confrontées à un enjeu de taille. Elles doivent maintenir une connaissance de la menace et de l’attaquant pour neutraliser ses tentatives d’intrusion.

Pour relever ce défi, leurs équipes en charge de la sécurité informatique ne peuvent plus se restreindre à l’usage des outils de collecte d’évènements de sécurité. Ces données – bien qu’importantes pour une couverture complète du SI – perdent leur valeur si les équipes ne sont pas en mesure de les analyser.

 

Equipez votre équipe SOC d’une CTI au service de la détection et remédiation

Chez SEKOIA.IO, nous avons développé une plateforme SOC qui ne se contente pas seulement de remplir les fonctions d’un SIEM classique (Security Information & Event Management).

Notre plateforme intègre nativement, dans son principe de fonctionnement, une CTI (outil de renseignement sur les menaces). Elle définit la recherche, l’analyse et la modélisation des menaces cyber. En d’autres termes, elle sert à décrire une attaque informatique au travers d’éléments contextualisés et indicateurs compréhensibles aussi bien par les hommes que les machines. On y trouve par exemple, les rapports sur les menaces les plus récentes, les campagnes, les malware et acteurs malveillants, leurs TTPS cartographiés avec MITRE ATT&CK.
Modélisé dans le format STIX 2.1, sa présence permet à vos analystes de disposer (en cas d’alerte) de toutes les données de contexte nécessaires à :

• Une meilleure évaluation du niveau de priorité de l’incident
• L’élaboration des contre-mesures défensives

Réduisez les fausses alertes avec une CTI contextualisée

Au sein de notre plateforme SOC, le renseignement autour des menaces est au cœur de la détection. Ce renseignement cyber traite des activités cybercriminelles mais aussi des menaces dites persistantes et avancées (APT) liées à des acteurs étatiques. Il est construit à partir de sources ouvertes et exclusives. Il permet de collecter en temps réel, des milliers d’indicateurs de compromission. 

Pour réduire le taux de faux positifs autour de ces indicateurs de compromission collectés et mis au service de nos usagers, nous accordons donc une importance à leur contextualisation. Chaque indicateur se voit attribuer une période de validité. Il est également soumis à un processus de contrôle afin de parvenir à un taux de fausse alerte quasi nulle.

Graph investigation

Simplifiez, améliorez, accélérez les activités de remédiation avec une CTI actionnable

Lorsque vos analystes disposent suffisamment d’éléments de contexte autour des évènements et alertes, cela leur assure un gain de temps dans le triage et la qualification. Ils/elles ont également la possibilité :

• D’apprécier l’urgence à traiter une alerte
• Formuler des mesures de défense appropriées ; sur la base des connaissances contextualisées qui sont produites autour des malware identifiés, les groupes d’attaquants, modes opératoires et campagnes associées.

Follow us on Social Media