Un service threat intelligence baptisé Chronicle Detect chez Google

le 24/09/2020, par Dominique Filippone, Sécurité, 474 mots

Google étend ses services en détection avancée des cybermenaces avec son dernier service de cybersécurité Chronicle Detect. Son moteur de règles basé sur YARA permet de concevoir des scénarios de lutte que l'on retrouve dans le framework de sécurité MITRE ATT&CK.

Un service threat intelligence baptisé Chronicle Detect chez Google

Au-delà des outils de protection classique de lutte contre les cybermenaces (antivirus, pare-feux, SIEM...), les entreprises sont de plus en plus séduites par les solutions de threat intelligence. Combinant des fonctions analytiques avancées basées sur l'IA avec du suivi d'anomalies et d'alertes automatisées de sécurité, ces dernières apportent une vue complète sur les cybermenaces (identité, caractéristiques des attaques, méthodes utilisées, motivations des opérateurs malveillants...).

Conscient des besoins des entreprises dans ce domaine - et les promesses d'un business lucratif - Google s'est lancé tambour battant dans la cybersécurité en créant sa division Chronicle. Après avoir intégré le service VirusTotal - issu d'un rachat - puis lancé un SIEM adossé à du stockage illimité, le firme de Mountain View étoffe son offre en threat intelligence avec Chronicle Detect. Sur ce créneau, Google est loin d'être seul, d'autres étant également bien armés (CrowdStrike Falcon X, FireEye, IBM Security, Kaspersky Threat Intelligence, Palo Alto Networks, Proofpoint, RiskIQ, ThreatQuotient...).

Une possibilité de traitement des données dans des datacenters en Europe

La solution Chronicle Detect s'appuie sur un moteur de règles basé sur YARA-L pour décrire les comportements des cybermenaces complexes et les techniques utilisées par les cyberattaquants répertoriées dans le framework de sécurité MITRE ATT&CK. « Les données envoyées à Chronicle sont incorporées dans son modèle de données unifié (UDM), un modèle de données conçu pour la télémétrie de sécurité pertinente pour la détection des menaces telles que EDR, NDR, DNS, proxy et SaaS », a précisé Google dans un billet de blog. « Les données de l'UDM de Chronicle sont enrichies de contexte (par exemple, actif, utilisateur, renseignements sur les menaces et vulnérabilités) et de corrélation (par exemple, IP vers hôte), créant une plate-forme plus large que SIEM et s'appuyant sur la vision de XDR ». A noter que des nouvelles options de localisation permettent d'envoyer les données traitées par Chronicle dans des datacenters en Europe - et aussi Asie-Pacifique - et plus seulement aux Etats-Unis.

Au-delà de l'outillage, Chronicle propose également un service dédié de cybersécurité reposant sur une équipe de chercheurs de son entité Uppercase. Objectif : fournir des indicateurs sur les dernières menaces APT, cybercriminalité et programmes malveillants, ainsi que clés de registres, domaines et adresses à risque. « Pour aider les clients à répondre aux incidents, Chronicle propose désormais des API d'intégration à des SOC avec des fournisseurs de premier plan tels que Palo Alto Cortex XSOAR, D3 SOAR, SIEMplify et Splunk Phantom. Les instances de Chronicle, les API et les paramètres de recherche sont accessibles directement dans les plateformes d'orchestration et d'automatisation des tâches », précise par ailleurs Chronicle dans un autre billet de blog.

Sans sécurité pas de cloud

Une étude de Sapio Research commandée par Trend Micro alerte sur les négligences en matière de sécurité lors d'une migration cloud. La pandémie de Covid-19 n'a rien arrangé à la situation. La migration vers le...

le 23/02/2021, par La rédaction, 244 mots

Avec la refonte de Prisma et le rachat de Bridgecrew, Palo Alto étend...

Les dernières initiatives de Palo Alto lui permettent de renforcer l'apprentissage machine, le développement d'applications de sécurité et d'accroître la flexibilité des licences. La semaine a été chargée chez...

le 17/02/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 941 mots

Avec Cisco, AppDynamics allie sécurité et gestion des applications

Afin de simplifier la gestion des vulnérabilités, Cisco Secure Application combine les capacités de sécurité avec les données de performance des applications. Avec AppDynamics, Cisco propose à ses clients...

le 08/02/2021, par Michael Conney, Network World (adapté par Jean Elyan), 515 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...