Définir le renseignement sur les menaces

  • 3 minutes

Le renseignement sur les cybermenaces (CTI) peut venir de nombreuses sources. Parmi ces sources, citons les flux de données open source, les communautés de partage de renseignements sur les menaces, les flux de renseignements payants et les investigations de sécurité au sein des organisations. Le renseignement sur les menaces informatiques peut aller de rapports écrits sur les motivations, l’infrastructure et les techniques d’un acteur de menace jusqu’à des observations spécifiques d’adresses IP, de domaines et de hachages de fichiers. Il fournit un contexte essentiel pour les activités inhabituelles, afin de permettre au personnel de sécurité d’agir rapidement pour protéger les personnes et les ressources.

Le renseignement sur les menaces informatiques le plus utilisé dans les solutions SIEM comme Microsoft Azure Sentinel est l’indicateur de menace, parfois appelé indicateur de compromission. Les indicateurs de menaces associent des URL, des hachages de fichiers, des adresses IP et d’autres données avec une activité de menace connue comme le hameçonnage, les botnets ou les logiciels malveillants. Cette forme de renseignement sur les menaces est souvent appelée renseignement tactique sur les menaces, car des produits de sécurité et d’automatisation peuvent l’utiliser à grande échelle afin de détecter les menaces potentielles et d’assurer une protection. Microsoft Azure Sentinel peut aider à détecter, à répondre et à fournir un contexte de renseignement sur les menaces informatiques en cas d’activité informatique malveillante.

Vous pouvez intégrer le renseignement sur les menaces (threat intelligence, TI) à Microsoft Azure Sentinel via les activités suivantes :

  • Utilisez des connecteurs de données à différentes plateformes TI pour importer le renseignement sur les menaces dans Microsoft Azure Sentinel.

  • Affichez et gérez le renseignement sur les menaces importé dans des Journaux et dans la nouvelle zone Threat Intelligence de Microsoft Azure Sentinel.

  • Utilisez les modèles de règle d’analytique intégrés pour générer des alertes et des incidents de sécurité à l’aide de votre renseignement sur les menaces importé.

  • Visualisez les informations critiques du renseignement sur les menaces dans Microsoft Azure Sentinel avec le classeur Threat Intelligence.

  • Réalisez la chasse aux menaces à l’aide de vos informations sur les menaces importées.

Screenshot of Threat Intelligence uses in Microsoft Sentinel.