En bref5 étapes pour une approche de Threat Intelligence élémentaire Jerome Saiz le 21 février 2014 à 9h54, dans la rubrique Conformité & Bonnes pratiques Commentaires fermés sur 5 étapes pour une approche de Threat Intelligence élémentaire corrélationcyber-intelligence Notre ex-collègue Anton Chuvakin, désormais chez Gartner, propose une méthodologie de Threat Intelligence simplifiée. Il s’agit en cinq points de commencer à organiser le volume d’information dont dispose l’entreprise afin d’y voir des connexions élémentaires. Les cinq étapes sont les suivantes : Stocker : conserver les données issues de source diverses au sein d’une base commune afin de pouvoir effectuer des recherches transverses. Par exemple pour être capable de rechercher toutes les occurrences d’une adresse IP à travers toutes les sources de données plutôt que dans chaque flux individuel. Enrichir : pour chaque adresse IP collectée, récupérer les informations du Whois, les données géographique, la réputation, etc… Cela facilite la création de nouvelles connexions entre des données d’origines en apparence diverses, et permet de mieux détecter d’éventuels signaux faibles. Associer : lier les adresses IP, les domaines, les URL et les échantillons de malwares collectés (en fonction des IP dont ils viennent ou vers lesquelles ils pointent). Cela permettra d’étendre le périmètre de vigilance et potentiellement de découvrir de nouvelles sources de menaces. Valider : soumettre les données recueillies à des listes blanches ou noires fiables afin d’écarter les données qui ne nécessitent pas d’investigation et se concentrer sur les autres. Contextualiser : associer les données à des observations locales, des événements, des incidents connus. Par exemple n’importe quelle donnée liée à une donnée elle-même associée à une source de menaces déjà identifiée présentera un intérêt accru. C’est également à ce stade qu’il est utile de relier les IP cibles (vues dans le cadre des incidents et observations internes) à l’étape des processus métier qu’elles servent (merci @sekimiatweets pour cette suggestion !) Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!