SIGMA, design et MITRE ATT&CK… nouveautés de la plateforme XDR et CTI

3 Déc, 2021

SEKOIA.IO XDR a pour objectif d’être au plus près des utilisateurs de la plateforme, en répondant à leurs besoins de manière précise, tout en prenant en compte leur approche et expérience utilisateur.

Dans cette dynamique, la plateforme ne cesse de se réinventer et d’évoluer en intégrant régulièrement de nouvelles fonctionnalités tout en améliorant les fonctionnalités existantes.

SIGMA pour le nouveau workflow de détection

Une détection plus efficace, privilégiez le language de détection SIGMA pour faciliter la configuration de vos règles personnalisées !

Le workflow de détection de SEKOIA.IO était historiquement basé sur le format STIX patterning, aujourd’hui nous ajoutons le support de SIGMA pour :

  • Faciliter l’écriture de règles de détection en générant automatiquement une règle au format SIGMA en sélectionnant les champs voulus dans l’onglet « Details » d’un évènement.
  • Simplifier la lecture, la compréhension et l’écriture des règles SIGMA, un language de détection plus commun et unifié.
  • Ecrire des règles de détection basées sur le même modèle de données que les événements, qui reste l’ECS.
  • Garantir plus de stabilité et de performance au niveau de la détection.

Générez vos règles dès maintenant !

Des infrastructures critiques dans le viseur des ransomware

Une investigation plus rapide, utilisez vos assets créés dans SEKOIA.IO pour enrichir les évènements ! 

Pour rendre vos investigations plus simples et efficaces, la nouvelle fonctionnalité d’enrichissement vous permettra d’avoir plus de contexte dans vos événements grâce aux différents assets créés dans SEKOIA.IO.

Les tags associés aux observables connus de l’Intelligence Center seront aussi disponibles pour donner plus d’informations sur différents attributs pour une meilleure compréhension de l’évènement.

Pivotez facilement sur l’ensemble des événements relatifs à un même Asset !

La page des Observables se refait une beauté

Non seulement un nouveau design, mais aussi plus de fonctionnalités !

Vous le savez déjà, les observables complètent votre investigation basée sur les IoCs. Nous avons lié les deux ! Vous pouvez voir quelles menaces sont liées à un observable en consultant ses relations dans l’onglet « Related Threats ».

Pour faciliter d’avantage leur utilisation, vous avez maintenant la possibilité de :

  • Filtrer les observables  par types, tags et sources.
  • Copier les informations relatives aux observables comme l’ID ou le nom en un seul clic.
  • Consulter ou copier au fichier JSON d’un observable plus rapidement.
  • Trouver les menaces associées aux observables à travers l’onglet « Related Threats » pour être redirigé vers la page Intelligence pour un maximum de contexte !

Accélérez la levée de doute en consultant les observables ! 

Exportez les relations en format MITRE ATT&CK !

En plus des formats CSV et JSON Lines, vous pouvez désormais exporter les relations sous le format MITRE ATT&CK. Vous pouvez sélectionner un ou plusieurs types d’objet, ou tous les exporter sous le format que vous préférez. 

Exportez les relations qui vous intéressent dès maintenant !

Nous détectons les outils de sécurité offensifs !

Grâce aux nouveaux trackers et nouvelles règles de détection déployées ce mois, SEKOIA.IO a amélioré notre couverture de détection système et réseau d’outils offensifs comme Covenant, Koadic et Sliver.

Deux rapports FLINT ont été également publiés pour détailler le fonctionnement de Covenant et Sliver, ainsi que leur utilisation par des cybercriminels et des APT.

Une amélioration continue de notre base de CTI

Une mise à jour de notre playbook Hatching Triage a permis à nos analystes d’ajouter à notre base de CTI les hash des derniers 6 mois et les samples liés à 35 familles de malwares et ransomware. Ce playbook est également lancé automatiquement quotidiennement pour récupérer et intégrer à SEKOIA.IO les hash et configuration de malware / ransomware des derniers samples publiés sur la sandbox Triage.

Chat with our team!

Would you like to know more about our solutions? Do you want to discover our XDR and CTI products? Do you have a cyber security project in your organization? Make an appointment and meet us!

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !