Kaspersky lance une plateforme de Threat Intelligence centralisée pour la gestion des renseignements sur les menaces
novembre 2021 par Marc Jacob
La solution Kaspersky CyberTrace mise à jour comprend des fonctionnalités étendues de plateforme de Threat Intelligence. Il s’agit notamment du triage des alertes, de l’analyse des données sur les menaces et de l’investigation sur les incidents. La nouvelle édition payante s’intègre à toutes les solutions de gestion des informations et des événements de sécurité (SIEM) et aux contrôles de sécurité couramment utilisés. Elle fournit une visualisation graphique pour des réponses efficaces. La version publique (plus limitée) de CyberTrace reste disponible gratuitement.
La multiplication des sources de Threat Intelligence (TI) entraîne en permanence le traitement de grandes quantités d’informations, ce qui génère des millions d’alertes. Il en résulte des données multiformats très fragmentées qui rendent incroyablement difficile la hiérarchisation, le triage et la validation efficaces des alertes. C’est pourquoi la capacité à identifier les menaces réelles reste l’un des principaux défis des équipes de sécurité informatique.
Afin d’améliorer l’efficacité des opérations de sécurité informatique, Kaspersky a fait évoluer son outil de fusion et d’analyse des renseignements sur les menaces CyberTrace vers une plateforme de Threat Intelligence centralisée. Ainsi, les équipes de sécurité et de réponse aux incidents des entreprises peuvent plus facilement détecter les menaces, procéder à des investigations et y répondre.
La nouvelle édition de la solution a été mise à jour avec des fonctionnalités avancées qui permettent aux équipes de sécurité d’effectuer des recherches complexes dans l’ensemble des champs d’indicateurs, d’analyser les observables des événements précédemment vérifiés et de mesurer l’efficacité des flux intégrés et d’une matrice d’intersection des flux. Elle offre également une API publique pour l’intégration avec les workflows automatisés. De plus, la plateforme prend désormais en charge les fonctions multi-utilisateurs et multi-tenants afin de contrôler les opérations qui sont gérées par différents utilisateurs et de traiter séparément les événements provenant de diverses succursales. L’édition payante, qui s’adresse aux grandes entreprises et aux MSSP, prend en charge l’intégralité des fonctionnalités. Elle permet de traiter et de télécharger un nombre illimité d’EPS et d’indicateurs de compromission (IoC).
L’édition publique de CyberTrace est toujours proposée gratuitement. Cette version offre toutes les capacités existantes de la solution, ainsi que les nouvelles fonctions mentionnées ci-dessus, à l’exception de la possibilité d’ajouter des comptes multi-utilisateurs et multi-tenants. Elle limite également le nombre d’événements traités par seconde (jusqu’à 250) et le nombre d’indicateurs pouvant être téléchargés (jusqu’à un million).
Approche d’intégration
Kaspersky CyberTrace s’intègre parfaitement avec toutes les solutions SIEM et les contrôles de sécurité couramment utilisés, et prend en charge n’importe quel flux de renseignements sur les menaces aux formats STIX 2.0/2.1/1.0/1.1, JSON, XML et CSV. Par défaut, la solution comprend l’intégration native d’un large éventail de flux de données sur les menaces de Kaspersky, générés par des centaines d’experts de l’entreprise, notamment des analystes de sécurité du monde entier et ses équipes de pointe de l’équipe GReAT (Global Research & Analysis Team) et R&D.
Cette plateforme résout le problème de l’ingestion de nombreux IoC dans les SIEM, qui peut entraîner des retards dans le traitement des incidents et des détections manquées. Kaspersky CyberTrace extrait automatiquement les IoC des journaux provenant des SIEM et les analyse en interne dans son propre moteur machine intégré. Cela permet de traiter plus rapidement un nombre illimité d’IoC sans surcharger les SIEM.
Facilité de gestion
Un tableau de bord contenant des données statistiques de détection ventilées par source de TI aide les utilisateurs à identifier et à mesurer les flux de renseignements sur les menaces les plus pertinents pour leur entreprise. Simultanément, la fonction multi-tenant facilite le partage des connaissances et la production de rapports pour les décisionnaires sur les pratiques en matière de renseignements sur les menaces, ce qui permet aux utilisateurs de traiter des événements provenant de différentes succursales (tenants).
La possibilité de marquer les IoC aide les utilisateurs à évaluer l’importance d’un incident. Les IoC peuvent également être triés et filtrés automatiquement sur la base de ces marqueurs et de leur poids. Cette fonctionnalité simplifie la gestion des groupes d’IoC et de leur pertinence.
Outils pratiques pour les investigations sur les menaces
Pour obtenir une vue globale d’un incident et comprendre son ampleur, le service inclut désormais un outil de visualisation graphique appelé Research Graph qui aide les analystes à étudier les relations entre les indicateurs et à élaborer un périmètre d’incident pour des réponses plus efficaces. Les relations sont établies en fonction des flux ingérés dans Kaspersky CyberTrace, des enrichissements provenant du Threat Intelligence Portal et des indicateurs ajoutés manuellement.
Une API REST permet aux analystes de consulter et de gérer les renseignements sur les menaces ou d’intégrer facilement la plateforme dans des environnements complexes pour l’automatisation et l’orchestration de ces menaces.