Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

5 étapes pour une approche de Threat Intelligence élémentaire

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur 5 étapes pour une approche de Threat Intelligence élémentaire

Notre ex-collègue Anton Chuvakin, désormais chez Gartner, propose une méthodologie de Threat Intelligence simplifiée. Il s’agit en cinq points de commencer à organiser le volume d’information dont dispose l’entreprise afin d’y voir des connexions élémentaires.

Les cinq étapes sont les suivantes :

Stocker : conserver les données issues de source diverses au sein d’une base commune afin de pouvoir effectuer des recherches transverses. Par exemple pour être capable de rechercher toutes les occurrences d’une adresse IP à travers toutes les sources de données plutôt que dans chaque flux individuel.

Enrichir : pour chaque adresse IP collectée, récupérer les informations du Whois, les données géographique, la réputation, etc… Cela facilite la création de nouvelles connexions entre des données d’origines en apparence diverses, et permet de mieux détecter d’éventuels signaux faibles.

Associer : lier les adresses IP, les domaines, les URL et les échantillons de malwares collectés (en fonction des IP dont ils viennent ou vers lesquelles ils pointent). Cela permettra d’étendre le périmètre de vigilance et potentiellement de découvrir de nouvelles sources de menaces.

Valider : soumettre les données recueillies à des listes blanches ou noires fiables afin d’écarter les données qui ne nécessitent pas d’investigation et se concentrer sur les autres.

Contextualiser : associer les données à des observations locales, des événements, des incidents connus. Par exemple n’importe quelle donnée liée à une donnée elle-même associée à une source de menaces déjà identifiée présentera un intérêt accru.
C’est également à ce stade qu’il est utile de relier les IP cibles (vues dans le cadre des incidents et observations internes) à l’étape des processus métier qu’elles servent (merci @sekimiatweets pour cette suggestion !)


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.