Un service threat intelligence baptisé Chronicle Detect chez Google

le 24/09/2020, par Dominique Filippone, Sécurité, 474 mots

Google étend ses services en détection avancée des cybermenaces avec son dernier service de cybersécurité Chronicle Detect. Son moteur de règles basé sur YARA permet de concevoir des scénarios de lutte que l'on retrouve dans le framework de sécurité MITRE ATT&CK.

Un service threat intelligence baptisé Chronicle Detect chez Google

Au-delà des outils de protection classique de lutte contre les cybermenaces (antivirus, pare-feux, SIEM...), les entreprises sont de plus en plus séduites par les solutions de threat intelligence. Combinant des fonctions analytiques avancées basées sur l'IA avec du suivi d'anomalies et d'alertes automatisées de sécurité, ces dernières apportent une vue complète sur les cybermenaces (identité, caractéristiques des attaques, méthodes utilisées, motivations des opérateurs malveillants...).

Conscient des besoins des entreprises dans ce domaine - et les promesses d'un business lucratif - Google s'est lancé tambour battant dans la cybersécurité en créant sa division Chronicle. Après avoir intégré le service VirusTotal - issu d'un rachat - puis lancé un SIEM adossé à du stockage illimité, le firme de Mountain View étoffe son offre en threat intelligence avec Chronicle Detect. Sur ce créneau, Google est loin d'être seul, d'autres étant également bien armés (CrowdStrike Falcon X, FireEye, IBM Security, Kaspersky Threat Intelligence, Palo Alto Networks, Proofpoint, RiskIQ, ThreatQuotient...).

Une possibilité de traitement des données dans des datacenters en Europe

La solution Chronicle Detect s'appuie sur un moteur de règles basé sur YARA-L pour décrire les comportements des cybermenaces complexes et les techniques utilisées par les cyberattaquants répertoriées dans le framework de sécurité MITRE ATT&CK. « Les données envoyées à Chronicle sont incorporées dans son modèle de données unifié (UDM), un modèle de données conçu pour la télémétrie de sécurité pertinente pour la détection des menaces telles que EDR, NDR, DNS, proxy et SaaS », a précisé Google dans un billet de blog. « Les données de l'UDM de Chronicle sont enrichies de contexte (par exemple, actif, utilisateur, renseignements sur les menaces et vulnérabilités) et de corrélation (par exemple, IP vers hôte), créant une plate-forme plus large que SIEM et s'appuyant sur la vision de XDR ». A noter que des nouvelles options de localisation permettent d'envoyer les données traitées par Chronicle dans des datacenters en Europe - et aussi Asie-Pacifique - et plus seulement aux Etats-Unis.

Au-delà de l'outillage, Chronicle propose également un service dédié de cybersécurité reposant sur une équipe de chercheurs de son entité Uppercase. Objectif : fournir des indicateurs sur les dernières menaces APT, cybercriminalité et programmes malveillants, ainsi que clés de registres, domaines et adresses à risque. « Pour aider les clients à répondre aux incidents, Chronicle propose désormais des API d'intégration à des SOC avec des fournisseurs de premier plan tels que Palo Alto Cortex XSOAR, D3 SOAR, SIEMplify et Splunk Phantom. Les instances de Chronicle, les API et les paramètres de recherche sont accessibles directement dans les plateformes d'orchestration et d'automatisation des tâches », précise par ailleurs Chronicle dans un autre billet de blog.

Tout savoir sur Azure Security Benchmark v2

Microsoft a ajouté des benchmarks de sécurité à Azure. Comment fonctionnent-ils et comment peuvent-ils vous aider à mieux comprendre votre posture de sécurité sur Azure ? 

le 22/10/2020, par Susan Bradley, IDG NS (adaptation Jean Elyan), 1398 mots

Les élections américaines de 2020 menacées par les réseaux de zombies

La date du 3 novembre, jour de l'élection présidentielle américaine, approche à grands pas, et l'imminence d'attaques basées sur Windows semble évidente. D'ailleurs, il n'est pas impossible que leur...

le 20/10/2020, par Preston Gralla, IDG NS (adaptation Jean Elyan), 1353 mots

Des attaques DDoS de plus en plus importantes selon Google Cloud

Google met en garde contre une augmentation exponentielle des volumes d'attaques DDoS et révèle les détails de l'attaque à 2,5 Tb/s en 2017.

le 19/10/2020, par Leon Spencer, IDG NS (adapté par Serge Leblal), 630 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...