Plan directeur d’un compte Feedly pour Threat Intelligence hautement fonctionnel – Feedly Blog | Affiliation Center

Plan directeur d'un compte Feedly pour Threat Intelligence hautement fonctionnel – Feedly Blog

De nombreuses équipes de cybersécurité de premier plan utilisent Feedly pour organiser et automatiser leurs renseignements sur les menaces open source et garder une longueur d’avance sur les menaces émergentes. Nous avons eu la chance d’en rechercher 100 et d’examiner leurs meilleures pratiques en matière de renseignements sur les menaces open source.

Dans cet article, nous expliquerons comment ils traduisent leurs besoins en informations en différents types de flux et comment ils structurent ces flux en un compte Feedly hautement fonctionnel.

Structure d’un compte de renseignement sur les menaces hautement fonctionnel

La plupart des professionnels de la cybersécurité commencent leur journée dans le tableau de bord Threat Intelligence. Il offre un large aperçu du paysage des menaces émergentes : articles et attaques tendance sur la cybersécurité, nouvelles vulnérabilités critiques, attaquants actifs, nouveaux comportements et familles de logiciels malveillants, il est donc facile d’avoir une idée de ce qui se passe en quelques minutes seulement.

Commencez votre journée avec un aperçu général du paysage des menaces avec le tableau de bord Threat Intelligence

Voici un bref aperçu de chaque section :

  • Nouvelles tendances: gardez une longueur d’avance sur les attaques en voyant quelles menaces sont à la mode dans la communauté de la cybersécurité.
  • Vulnérabilités: Améliorez le temps de réaction et réagissez rapidement aux nouvelles vulnérabilités à mesure qu’elles surviennent, permettant aux équipes de cybersécurité et à leurs clients de rester informés plus rapidement des risques imminents.
  • Attaquants: Identifiez en un coup d’œil les acteurs de la menace qui sont à la mode et créez rapidement des alertes Web pour suivre leurs actions et leurs comportements.
  • Tactiques et techniques: gardez une trace des TTP qui s’avèrent être les plus répandus parmi les acteurs de la menace, mappez les données vers le navigateur Mitre ATT&CK pour les comparer avec d’autres profils d’acteurs de la menace ou pour identifier les lacunes de votre capacité défensive.
  • Nouveau logiciel malveillant: recherchez les nouveaux logiciels malveillants qui affectent les systèmes et soyez vigilant face aux menaces émergentes.

Découvrez les vulnérabilités critiques

Le moyen le plus efficace de suivre les vulnérabilités critiques et les zero-days sur le Web est avec Leo, l’assistant de recherche en IA de Feedly. Leo a été pré-formé pour comprendre les vulnérabilités et évaluer leur gravité. Il lit des millions d’articles chaque jour, à la recherche de menaces de sécurité critiques.

Suivez les vulnérabilités critiques des produits déployés dans votre environnement

Lorsque Leo trouve un CVE, il recherche automatiquement son score CVSS, les exploits et les familles de logiciels malveillants associés, les liens vers les acteurs de la menace, les informations CWE et les correctifs. Il organise ensuite toutes ces informations dans une riche carte d’intelligence CVE.

Si le CVE n’a pas encore de score CVSS, Leo utilise l’apprentissage automatique pour prédire le score CVSS, vous gardant une longueur d’avance sur les dernières menaces émergentes.

Découvrez les vulnérabilités critiques et obtenez une vue à 360 degrés avec la carte d’intelligence CVE

La création d’une vaste alerte Web Leo ciblant toutes les vulnérabilités critiques vous donne une vue d’ensemble de ce qui se passe dans le paysage des menaces, tandis que l’ajout de fournisseurs spécifiques à la recherche permet de se concentrer sur des flux plus précis et gérables.

Les équipes de cybersécurité créent souvent une alerte Web Leo pour chacun des principaux produits déployés dans leur environnement et les regroupent dans un dossier Vulnérabilités.

Suivre les comportements de l’adversaire

L’une des façons dont les équipes de cybersécurité suivent et visualisent les comportements d’acteurs de la menace et de familles de logiciels malveillants spécifiques consiste à utiliser l’intégration de Feedly avec le framework Mitre ATT&CK. Leo a été pré-formé pour comprendre les acteurs de la menace (intégration avec Malpedia), Mitre ATT&CK (version 10) et le concept des rapports de renseignements sur les menaces. Ces trois concepts peuvent être facilement combinés pour suivre le comportement d’adversaires sélectionnés.

Voici un exemple d’alerte Web Leo faisant surface dans tous les rapports de renseignements sur les menaces mentionnant l’acteur menaçant du groupe Lazarus :

Suivre les rapports de renseignements sur les menaces mentionnant le groupe Lazarus

Les équipes de cybersécurité créent souvent une alerte Web Leo pour chacun des acteurs de la menace et des familles de logiciels malveillants définis sur leur liste de profilage des menaces et les regroupent dans un dossier « Threat Intel ».

Lorsque Leo trouve un article dans lequel il a identifié des TTP, il peut mapper le contenu de cet article sur le navigateur ATT&CK afin que les équipes de cybersécurité puissent facilement analyser le comportement de l’adversaire et le comparer avec leurs défenses existantes.

Ouvrir automatiquement les TTP mentionnés dans un article du navigateur MITRE ATT&CK

Leo signale également automatiquement toutes les adresses IP, hachages, domaines et URL (IoC) malveillants qu’il identifie dans les articles afin qu’ils puissent facilement être exportés avec des liens vers les acteurs de la menace, les familles de logiciels malveillants et les vulnérabilités à l’aide de STIX 2.1 et importés dans Threat Intelligence Platforms ( POINTE).

Exportez les IoC avec des liens vers les acteurs de la menace et les logiciels malveillants à l’aide de STIX 2.1

Suivre les cyberattaques

Les équipes de sécurité peuvent suivre efficacement les cyberattaques ciblant leur secteur ou leur chaîne d’approvisionnement. Leo a été pré-formé pour comprendre le concept d’une cyberattaque et qui est la cible de l’attaque. Voici un exemple de la façon dont un professionnel de la cybersécurité pourrait demander à Leo de suivre toutes les cyberattaques visant le secteur financier.

Suivez les cyberattaques dans le secteur financier

L’accent peut également être réduit à des menaces plus spécifiques telles que les « violations de données affectant les cartes de crédit » ou les « cyberattaques utilisant l’authentification multifacteur ».

Suivez les flux de sécurité fiables

Feedly permet aux équipes de cybersécurité de suivre une grande variété de flux fiables en un seul endroit, y compris des sites Web et des blogs, des newsletters, des communautés Reddit et des comptes Twitter, des recherches et des hashtags. Les équipes qui tirent le meilleur parti de Feedly en font leur centre de renseignement unique afin de pouvoir partager des sources communes en un seul endroit. Ils finissent par économiser des heures chaque semaine car ils ne partagent plus d’articles ad hoc par e-mail, Slack et d’autres plates-formes de messagerie.

Suivez vos sites Web de sécurité, blogs, newsletters, Twitter et Reddit de confiance en un seul endroit

Recueillir et partager des renseignements sur les menaces avec les conseils

Lorsqu’un article important fait surface, Feedly fournit les outils pour annoter, surligner, ajouter des notes et enregistrer l’article dans un tableau pour une révision ultérieure. Lorsqu’un article est enregistré dans un tableau d’équipe, les utilisateurs de Feedly for Threat Intelligence disposent d’options supplémentaires pour générer automatiquement des newsletters, partager avec Slack ou Microsoft Teams, ou utiliser l’API Rest de Feedly pour s’intégrer à un flux de travail existant.

Enregistrez et organisez les articles sélectionnés dans des tableaux et partagez-les avec vos équipes

Voici quelques exemples de tableaux d’équipe qui ont aidé les équipes de cybersécurité à rester organisées :

  • Vulnérabilités critiques Conseil: Enregistrez les articles sur les vulnérabilités exploitables et les zero-days qu’une équipe de cybersécurité voudra rechercher et corriger dès que possible.
  • Comité de rapport du CIO : Enregistrez les articles faisant référence aux IoC qui doivent être transférés vers une plateforme de renseignements sur les menaces.
  • Tableau d’information sur les renseignements sur les menaces : Enregistrez des articles à partager avec une équipe de direction.
  • Conseil des acteurs de la menace: Enregistrez les articles décrivant les comportements d’acteurs de la menace spécifiques actifs dans l’industrie qui doivent être importés dans le TIP pour que le reste de l’équipe puisse effectuer des recherches.
  • Logiciels malveillants émergents Conseil: Enregistrez des articles sur les techniques utilisées par les familles de logiciels malveillants émergents.
  • Attaques de la chaîne d’approvisionnement Conseil: Enregistrez les instances d’attaques et de violations de données faisant référence à la chaîne d’approvisionnement ou à des partenaires tiers.

Essayez Feedly pour Threat Intelligence

Toutes ces fonctionnalités, et bien d’autres, sont disponibles dans le cadre de Feedly for Threat Intelligence. Pour en savoir plus sur l’une de ces fonctionnalités ou commencer un essai gratuit de 30 jours, cliquez sur le lien ci-dessous.

Essayez feedly pour Threat Intelligence

Vous pourriez aussi être intéressé par

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.