Uncoder CTI : Instructions étape par étape
Table des matières :
SOC Prime est ravi d’annoncer qu’Uncoder CTI, introduit avec la sortie de la plateforme SOC Prime pour une défense cybernétique collaborative, est maintenant disponible pour une utilisation publique à https://cti.uncoder.io/. Désormais, les analystes en renseignement sur les menaces et les chasseurs de menaces, quel que soit leur niveau d’expérience dans le domaine, peuvent essayer de chasser les menaces basées sur les IOC sur le champ en utilisant Uncoder CTI. La version publique d’Uncoder CTI pour générer des requêtes IOC instantanées personnalisées selon les besoins de sécurité de l’équipe est maintenant 100% gratuite et ne nécessite pas d’enregistrement.
Dans ce blog, vous trouverez des directives sur la façon de commencer avec Uncoder CTI pour rendre votre expérience de chasse aux menaces plus facile, plus rapide et plus simple.
Uncoder CTI a été conçu par l’équipe SOC Prime pour dynamiser la chasse aux menaces avec le renseignement sur les cybermenaces et optimiser l’appariement des IOC pour une performance maximale dans le SIEM ou XDR appliqué. Comme Uncoder.IO, cette innovation de SOC Prime permet un support multi-outils et peut être appliquée à plusieurs solutions de sécurité. Avec Uncoder CTI, les analystes en renseignement sur les menaces et les chasseurs de menaces peuvent générer des requêtes personnalisées pour plus de 15 technologies SIEM et XDR, y compris Microsoft Azure Sentinel, Chronicle Security, Elastic Stack et Splunk.
Nous tenons à votre vie privée
SOC Prime accorde une grande importance à la confidentialité des données des utilisateurs, ce qui se reflète également dans l’avis de confidentialité d’Uncoder CTI visible par toute personne qui ouvre l’outil pour la première fois. SOC Prime ne stocke pas les données IOC téléchargées dans Uncoder CTI, et aucune donnée n’est partagée avec des tiers. L’accès aux données IOC est uniquement disponible pour les responsables de la sécurité exécutant chaque session particulière d’Uncoder CTI.
Téléchargement des IOC
Insérez un fichier contenant des IOC directement dans la fenêtre de gauche ou importez-le en cliquant sur le bouton Télécharger des IOC . Veuillez sélectionner les fichiers dans le format acceptable (CSV, JSON, ou TXT).
Uncoder CTI inclut déjà des paramètres par défaut qui empêchent les erreurs de syntaxe et les problèmes d’analyse grâce au remplacement automatique de certains symboles et mots-clés. Les équipes peuvent personnaliser ces paramètres en cliquant sur le bouton Plus et en sélectionnant une option pour remplacer certaines combinaisons de caractères dans le contenu à analyser :
- Sélectionner tout — toutes les options de remplacement listées sont appliquées
- Remplacer (.) [.] {.} par un point
- Remplacer hxxp par http
- Exclure les réseaux privés et réservés (comme 0.0.0.0/8, 10.0.0.0/8, etc.)
Paramètres de génération de requête
Pour personnaliser la requête IOC ajoutée à vos besoins de sécurité dans le Paramètres de génération de requête, suivez ces étapes :
- Sélectionnez les types d’IOC qui seront utilisés dans votre requête (IP, Hash, Domaine, ou URL).
- Sélectionnez le type de hash si nécessaire (MD5, SHA-1, SHA-256, SHA-512).
- Sélectionnez le SIEM ou XDR dans lequel vous souhaitez exécuter la requête.
- Optionnellement, vous pouvez créer un mappage de champ IOC personnalisé pour ajuster les paramètres par défaut de la technologie utilisée à votre schéma de données spécifique.
- Utilisez un curseur pour définir le nombre d’IOC par requête.
- Optionnellement, vous pouvez ajouter des exceptions pour exclure certains IOC de vos requêtes et réduire le nombre de faux positifs. Par exemple, vous pouvez entrer ici l’IP 8.8.8.8, des sous-réseaux privés ou d’autres erreurs typiques de rapport CTI.
- De plus, vous pouvez inclure l’IP source dans votre requête avec l’opérateur « OU » en sélectionnant la case correspondante.
- Cliquez sur le bouton Générer .
|
Remarque : Pour configurer un nouveau profil de mappage de champ IOC, vous devez vous inscrire pour le plateforme SOC Prime ou vous connecter en utilisant votre compte existant. |
Explorer pour chasser dans votre SIEM ou XDR
La requête IOC personnalisée générée s’affichera ci-dessous. Les analystes en renseignement sur les menaces et les chasseurs de menaces peuvent exécuter une requête dans l’environnement sélectionné en la copiant puis en la collant directement dans l’instance SIEM ou XDR.
Alternativement, Uncoder CTI permet l’envoi automatique de requêtes à la solution de sécurité en cours d’utilisation.
|
Remarque : Pour tirer parti de cette fonctionnalité, les agents de sécurité doivent s’inscrire ou se connecter à la plateforme SOC Prime et configurer l’ environnement API correspondant en utilisant les paramètres Environnements de la plateforme . |
Choisissez comment capturer la requête de chasse générée avec l’un des boutons d’action qui apparaissent en survolant le code de la requête.
C’est fait, vous êtes prêt à chasser dans le plateforme de requête.
La version publique à https://cti.uncoder.io/ est le moyen le plus simple et le plus rapide pour commencer avec Uncoder CTI et exécuter des requêtes qui ne nécessitent pas d’affinage avancé. Pour une expérience de chasse aux menaces plus approfondie utilisant les capacités étendues d’Uncoder CTI, comme le mappage IOC personnalisé et la recherche automatisée dans votre SIEM ou XDR, rejoignez la plateforme SOC Prime et accédez à plus de 130,000 détections pour la découverte et la chasse aux menaces. Consultez l’ aperçu d’Uncoder CTI pour en savoir plus sur les capacités de chasse intelligente de l’outil.
