7.5.7. Analyse des alertes Active CTI
7.5.7.1. Introduction
Pour plus d'informations, voir les paragraphes suivants :
7.5.7.1.1. Gestion du moteur Active CTI
7.5.7.1.2. Événements générés par le moteur
- Dans l’interface principale nommée Web UI du GCenter, dans l’écran
`Alerts`L’interface principale nommée Web UI est décrite dans la Présentation de la WebUI.- Pour visualiser les alertes, sélectionner le filtre moteur
`Active CTI`.Voir la présentation de l'Ecran `Alerts` de la WebUI. - Cliquer sur l'alerte sélectionnée.La fenêtre
`Alert details`est affichée.Les informations détaillées de cette alerte sont affichées dans l'Exemple d'alerte Active CTI detect dans Kibana.Les compteurs affichés sont indiqués dans l'annexe Structure des données du journal de bord du moteur.
- Dans l'interface nommée Kibana UI :
- Dans l'interface principale WebUI, cliquer sur l'icône
`Hunting`.L'interface affichée est l'interface nommée Kibana UI (décrite dans l'Interface graphique Kibana). - Cliquer sur la catégorie
`Active CTI`de la section`Alerts`puis sur l'onglet`Overview`ou`Messages`.
Pour consulter des informations sur une alerte spécifique :
- Cliquer sur l'icône (1) à gauche de l'alerte.Le document développé (2) s'affiche.
Les informations détaillées de cette alerte peuvent être consultées sous forme de tableau ou au format json (voir la Structure des données des logs Active CTI).Les compteurs affichés sont donnés dans l'annexe Structure des données du journal de bord du moteur.Les alertes Active CTI sont des alertes qui peuvent être filtrées en recherchant le terme event.module: active_cti dans la barre de recherche de Kibana.
Note
L'interface KibanaUI est également accessible sans filtre via l'icône
`Hunting`sur la barre de menu de gauche dans la WebUI.
7.5.7.1.3. Informations essentielles pour comprendre le contexte de l'alerte
7.5.7.1.3.1. Quels sont les champs clés d'une alerte et leur signification ?
- Afin d'entreprendre l'investigation ou la qualification de l'alerte, il convient de rechercher l'IoC sur la plateforme OpenCTI de Gatewatcher CTI obtenir plus d'informations concernant la menace et comprendre le contexte.Pour ce faire, il faut d'abord déterminer quel est l'IoC :
si l'alerte est levée sur un paquet DNS, la valeur de l'IoC se trouve dans le champ
``dns.query.rrname``de l'alertesi l'alerte est levée sur un paquet HTTP, la valeur de l'IoC se trouve dans le champ
``http.hostname``de l'alerteNote
Ces éléments sont visibles dans la fenêtre
`Alert details`.
rechercher la valeur de l'IoC dans la barre de recherche générale située en haut à droite de la page d'accueil.
puis sélectionner l'IoC parmi les IoC présents après la recherche
- sa descriptionLa description de l'IoC est composée de :
sa valeur
- le type d'IoCDans le cas d'une alerte ActiveCTI, les alertes sont associées à des domaines ou des URL, mais de manière générale la plateforme comporte des hash de fichiers, des noms de fichiers et des IP.
s'il est en Detection ou non, voir la Procédure de traitement d'une alerte
ses labels, qui peuvent correspondre :
- Au type de menace associéCe champ peut prendre différentes valeurs dont phishing, trojan, hacktool suivant comment la menace a été catégorisée par Gatewatcher CTI.
- Au nom du malware associéDans le cas d'un hash de fichier ou d'une URL ou domaine à l'origine du téléchargement d'un fichier, si ce fichier est catégorisé comme appartenant à une famille de malware, alors le nom apparaîtra dans les labels.Par exemple : mirai, qbot, redline stealer.
- Au nom du threat actor associéDe la même manière que pour les malwares, si la menace est associée à un acteur de la menace, son nom apparaîtra dans les labels.Par exemple : ta505, lockbit, lazarus group.
- ses références externesIl s'agit d'articles ou analyses externes dans lesquels l'IoC est présent et qui apportent un contexte supplémentaire.
7.5.7.2. Procédure de traitement d'une alerte
7.5.7.2.1. Comment vérifier l'exactitude d'une alerte et déterminer si elle représente une menace réelle ?
`detection` ou `hunting`.- Si l'usage_mode de l'IoC a pour valeur
`hunting`, ce qui peut être le cas pour un domaine ou une adresse IP, cela signifie que la ressource n'a pas plus être contactée.Sur un réseau, cela peut par exemple arriver quand un ressource malveillante tente de contacter un domaine qui n'est plus actif. - En revanche, si l'usage_mode a pour valeur
`detection`, l'IoC est toujours actif et représente dans ce cas une menace actuelle.
7.5.7.2.2. Comment catégoriser la menace en fonction des informations recueillies ?
Pour catégoriser la menace, explorer plusieurs pistes :
Vérifier le type de la menace :
- Dans le cas d'une URL ou d'un domaine, les menaces associées sont le plus souvent du phishing ou le téléchargement d'un fichier malveillant.Ces informations sont présentent dans les labels de l'IoC.Si les labels ne permettent pas de déterminer le type de menace, la valeur de l'IoC peut donner l'information.Les URL de phishing contiennent généralement des mots-clés qui trahissent une tentative d'usurpation d'un service ou d'une entreprise, là ou le téléchargement d'un fichier malveillant se fait souvent à partir d'une IP et dont le nom du fichier peut être indiqué dans le chemin.Dans d'autres cas, l'IoC peut se rapporter à une domaine de Command and Control, caractérisé par un nom de malware spécifique.
Rechercher des menaces sur des plateformes CTI externes :
Pour plus d'informations sur le niveau d'activité malveillante ou pour télécharger la menace sous la forme d'un fichier, il convient de se tourner vers des plateformes externes de renseignement sur les menaces, telles que VirusTotal ou MalwareBazaar.
Vérifier l'adresse IP d'origine de l'alerte dans le GCenter :
- Si l'alerte est liée à une adresse IP externe, examiner le niveau de réputation de cette adresse.Une adresse IP ayant une mauvaise réputation est plus susceptible d'être associée à des activités malveillantes.
À noter également, ce n'est pas parce qu'il s'agit d'une adresse IP interne qu'il s'agit d'un faux positif.
Consulter l'historique des alertes :
- Consulter l'historique des alertes similaires générées par ActiveCTI.Si des alertes similaires ont été confirmées comme des menaces réelles dans le passé, cela renforce la probabilité que l'alerte actuelle soit également une menace.En fonction des observations, la menace pourra être catégorisée comme réelle ou non.
Si besoin, utiliser la fonctionnalité File transactions présentée au paragraphe précédent pour obtenir la majorité de ces informations via une vue condensée.
7.5.7.2.3. Quelles réponses à apporter en cas de confirmation de la menace ?
Note
Cette procédure permet d'approfondir l'investigation et évaluer l'étendue de l'incident après confirmation d'une menace générée par le moteur ActiveCTI.
De manière générale, il convient de :
Déterminer l'étendue de l'infection : identifier les machines infectées par la menace
Isoler le système : isoler immédiatement le système contaminé et s'assurer qu'il ne peut pas causer de dommages supplémentaires
Notifier : informer les parties concernées de la détection de la menace
Selon les cas, on s'oriente vers différentes remédiations :
si la menace est un domaine ou une IP associé au téléchargement d'un ressource malveillante, dans ce cas il s'agit probablement du transfert d'un outil malveillant vers ou au sein de l'environnement infecté :
supprimer le fichier ou logiciel malveillant de la ou les machines infectées
analyser la machine à partir de laquelle la demande a été adressée au serveur malveillant, qui aurait été infectée avant la demande
si la menace est associée à un serveur de Command and Control, cela implique qu'une ou plusieurs machines infectées communiquent avec ledit serveur :
supprimer la balise malveillante à l'origine des communications vers le serveur de la ou les machines infectées
si la menace est associée à du phishing :
identifier la cible du phishing
interroger le ou les collaborateurs sur les détails de l'attaque pour évaluer l'ampleur des informations communiquées à l'attaquant
- anticiper les actions de l'attaquant
- surveiller / bloquer les éléments associés à l'IOC