1. Accueil
  2. Documentation
  3. Actualités
  4. Actualités
  5. Intégration de la CTI de Sekoia.io dans Defants AIR : Comment ça fonctionne ?

Intégration de la CTI de Sekoia.io dans Defants AIR : Comment ça fonctionne ?

24 Juin 2024

Enjeux de la cybersécurité

La cybersécurité est un enjeu majeur pour toutes les entreprises, et la détection précoce des menaces est essentielle pour prévenir les incidents et protéger les actifs. Defants, spécialiste des solutions d’investigation des menaces, a franchi une étape stratégique en intégrant la Cyber Threat Intelligence (CTI) de Sekoia.io dans sa plateforme AIR.

Dans cet article, nous explorons les raisons de cette intégration, son fonctionnement et les avantages qu’elle apporte.

Sekoia.io : Qu’est-ce que c’est ?

Sekoia.io est une plateforme de CTI (Cyber Threat Intelligence) reconnue pour sa capacité à fournir des informations approfondies et contextualisées sur les cybermenaces.

Voici ses principales fonctionnalités :

  • Compréhension approfondie des menaces : Sekoia.io collecte et analyse des informations provenant de multiples sources pour identifier les tendances et les schémas de menace. Cette capacité permet aux entreprises de comprendre les menaces actuelles et émergentes.
  • Contextualisation des menaces : La plateforme relie les indicateurs de compromission (IoC) à des acteurs malveillants spécifiques, des campagnes et des techniques employées. Cela permet aux analystes de comprendre non seulement ce qui se passe, mais aussi pourquoi et comment une attaque pourrait se produire.
  • Surveillance continue : Sekoia.io assure une veille permanente sur les menaces, permettant aux entreprises de rester informées des évolutions et de se préparer contre les attaques futures.
En savoir plus sur Sekoia.io

Defants AIR : Qu’est-ce que c’est ?

Defants AIR est une plateforme d’investigation des menaces, conçue pour aider les entreprises à répondre efficacement aux incidents de sécurité.

Ses principales fonctionnalités incluent :

Graphe de connaissance :

  • Le modèle de graphe est une représentation visuelle des relations entre les entités (par exemple, les utilisateurs, les machines, les domaines, les fichiers) dans un environnement informatique.
  • Dans Defants AIR, ce modèle permet de relier les informations collectées lors d’une enquête.

Par exemple, si un utilisateur a ouvert un fichier malveillant, le graphe montrera les connexions avec d’autres utilisateurs, les machines impliquées et les IoC associés.

  • Les analystes peuvent explorer ces relations pour comprendre comment l’incident s’est propagé et quelles autres parties du réseau sont potentiellement affectées.

Timeline collaborative :

  • La chronologie est essentielle pour comprendre l’enchaînement des événements lors d’un incident.
  • La timeline collaborative permet à plusieurs analystes de travailler ensemble sur la même chronologie. Ils peuvent ajouter des événements, des notes et des commentaires en temps réel.

Par exemple, un analyste peut noter qu’un utilisateur a ouvert un e-mail de phishing à 10h00, puis un autre peut ajouter que le même utilisateur a ensuite visité un site malveillant à 10h30.

  • Cette collaboration en temps réel facilite la coordination et la compréhension mutuelle entre les membres de l’équipe.

Automatisation des tâches répétitives :

  • Les investigations impliquent souvent des tâches répétitives, telles que la vérification des logs, la recherche d’indicateurs de compromission et la corrélation des événements. Defants AIR automatise ces tâches pour gagner du temps et réduire les erreurs humaines.

Par exemple, lorsqu’un analyste identifie un IoC suspect, le système peut automatiquement rechercher toutes les occurrences de cet IoC dans les logs et les rapports. Cela permet aux analystes de se concentrer sur l’analyse approfondie plutôt que sur les tâches manuelles fastidieuses.

En résumé, Defants AIR offre des outils puissants pour mener des investigations approfondies, collaborer efficacement et accélérer la détection des menaces.

Comment Sekoia.io s’intègre-t-elle dans Defants AIR ?

L’intégration de Sekoia.io dans Defants AIR se fait de manière fluide et efficace, en combinant les forces des deux plateformes pour offrir une solution de sécurité robuste.

Voici les principaux aspects de cette intégration :

  • Ingestion des données : Sekoia.io alimente Defants AIR avec des informations actualisées sur les menaces. Cette ingestion de données se fait en temps réel, garantissant que les informations utilisées pour les enquêtes sont toujours à jour.
  • Enrichissement des alertes : Lorsqu’une alerte est générée dans Defants AIR, elle est immédiatement enrichie avec les données contextuelles de Sekoia.io. Cela inclut des informations sur les IoC, les tactiques, techniques et procédures (TTP) des attaquants, ainsi que des liens vers des rapports détaillés sur les menaces.
  • Automatisation des investigations : Les données enrichies permettent aux analystes de mener des enquêtes plus rapidement et plus efficacement. Les processus d’investigation peuvent être automatisés en utilisant des playbooks intégrant les informations de Sekoia.io, réduisant ainsi le temps nécessaire pour identifier et remédier aux menaces.

L’intégration de Sekoia.io dans Defants AIR apporte de nombreux avantages significatifs :

  • Précision accrue de la détection des menaces : Les alertes enrichies avec des informations contextuelles sont plus précises, ce qui réduit le nombre de faux positifs et permet aux analystes de se concentrer sur les vraies menaces.
  • Réponse plus rapide aux incidents : Les informations contextuelles fournies par Sekoia.io permettent aux analystes de comprendre rapidement la nature et l’ampleur des menaces, accélérant ainsi le processus de réponse.
  • Données d’enquête enrichies : Les profils détaillés des acteurs de menace, les informations sur les campagnes et les techniques utilisées fournissent aux analystes une compréhension approfondie des menaces, ce qui améliore la qualité des enquêtes.
  • Réduction de la charge manuelle pour les analystes : L’automatisation des tâches répétitives et l’enrichissement des données permettent aux analystes de se concentrer sur des tâches à plus forte valeur ajoutée, améliorant ainsi l’efficacité globale de l’équipe de sécurité.

Perspectives futures

L’intégration de Sekoia.io dans Defants AIR n’est que le début.

À l’avenir, nous envisageons d’améliorer encore cette intégration en :

  • Utilisant davantage les scores de menace : Nous prévoyons d’incorporer les scores de menace de Sekoia.io pour évaluer la criticité des incidents de manière plus précise et prioriser les réponses en conséquence.
  • Intégrant des fonctionnalités avancées de machine learning : En utilisant des techniques de machine learning, nous pourrions améliorer la détection des menaces et proposer des réponses plus efficaces basées sur des modèles prédictifs.
  • Développant des capacités de réponse automatisée : L’intégration future pourrait inclure des capacités de réponse automatisée, où les systèmes peuvent prendre des mesures proactives pour neutraliser les menaces sans intervention humaine

La force du collectif

L’intégration de la CTI de Sekoia.io dans Defants AIR renforce considérablement les capacités de détection et de réponse aux menaces de la plateforme. En combinant les forces de ces deux outils, les entreprises bénéficient d’une meilleure précision dans l’identification des menaces, d’une réponse plus rapide aux incidents et d’une charge de travail réduite pour les analystes. Cette collaboration prometteuse ouvre la voie à des améliorations futures, renforçant encore davantage la posture de sécurité des entreprises.

26 Mar 2025

Sortie de la v1.16 Defants AIR

07 Mar 2025

IoA : Indicateurs d'attaque

15 Fév 2025

L’intelligence artificielle au service de la cybersécurité