Skip to content
Nouveau rapport : Obtenez votre exemplaire du rapport 2024 sur l'état de l'internet ! | Télécharger aujourd'hui
Blogs

Censys Série Blue Team : Comment améliorer l'efficacité du triage des alertes réseau grâce à la visibilité extérieure de Censys ASM ?

Enjeu:

Le mappage des traductions d'adresses réseau (NAT) externes à l'infrastructure interne peut constituer un défi pour les défenseurs. Souvent, il est nécessaire de joindre des données complexes à travers de multiples ressources de journalisation disparates. Ce manque de visibilité se manifeste lors de l'examen des signatures de menaces qui atteignent les NAT externes et sont acheminées vers l'infrastructure sous-jacente. Dans la plupart des cas, le simple fait de savoir si l'infrastructure sous-jacente est basée sur Microsoft ou Linux peut éliminer la nécessité d'une enquête complète ou d'une remontée d'alerte vers les chefs d'équipe SOC de niveau 2 ou 3.

Solution:

Censys La gestion de la surface d'attaque (ASM) peut fournir une visibilité complète de votre infrastructure informatique tournée vers l'extérieur. Cette visibilité accrue et cette connaissance de la situation peuvent réduire le temps de triage des alertes et accroître la normalisation du traitement des alertes basées sur le réseau.

Scénario:
Une alerte critique ou hautement prioritaire est reçue par un analyste du centre des opérations de sécurité (SOC) pour triage et validation. L'horloge démarre, c'est l'heure de l'enquête ! Chaque seconde compte lorsque les cyberdéfenseurs de première ligne trient les alertes.

Exemple de signature d'alerte:

(Alerte critique)
Le pare-feu a détecté la signature de l'exploit {signature} sur l'adresse IP/l'hôte (adresse IP NAT à équilibrage de charge externe/domaine).

L'alerte est présentée aux analystes par l'intermédiaire d'un SIEM. L'analyste effectue des recherches sur la signature CVE et recueille des éléments d'information clés. Armé du contexte de la signature de l'exploit, à savoir la question fondamentale de savoir quel type de système est potentiellement vulnérable, l'analyste est maintenant prêt à évaluer la cible de la signature de la menace qui a fait l'objet de l'alerte. Dans le corps de l'alerte se trouve l'adresse IP externe NAT/équilibrée en fonction de la charge et/ou le nom de domaine. À ce stade, l'analyste essaie simplement de confirmer ou d'infirmer des questions de base. Cette signature de menace peut-elle avoir un impact sur cet hôte ? Quelle(s) version(s) de logiciel est (sont) touchée(s) ? L'exploit cible-t-il les serveurs Microsoft, l'infrastructure basée sur Linux ou une application/version CMS spécifique ? Il s'agit là de questions élémentaires mais qui prennent du temps lorsqu'il s'agit d'évaluer manuellement une infrastructure à charge équilibrée.

Sans Censys ASM, l'analyste devrait sortir de ses outils internes et de son SIEM pour évaluer manuellement l'IP/le domaine ciblé par la signature de la menace. Veiller à ce que les analystes puissent traiter les alertes dans leurs outils standard est important pour la normalisation globale des processus SOC. Cela permet d'améliorer la cohérence et la qualité des décisions prises par les analystes.

Comment Censys ASM peut-elle vous aider ?

Grâce aux scans quotidiens et aux informations sur les hôtes, nous pouvons non seulement établir l'empreinte de votre client périphérique, comme F5 Big-IP, mais aussi celle de l'infrastructure serveur sous-jacente à charge équilibrée.

Exemple d'ASM "Host Information" pour un F5 BIG-IP NATd et Load Balanced IP typique. Censys scans are picking underlying Microsoft Servers. Des points de données essentiels pour l'enquête de l'analyste SOC sur les alertes réseau.

Exemple d'informations sur l'hôte ASM :

Un examen rapide des données ASM de Censys informe notre analyste SOC que l'infrastructure sous-jacente de cet hôte est basée sur Microsoft. Il s'avère que notre exemple d'exploit d'alerte n'est conçu que pour certaines versions de Linux. L'analyste est en mesure de documenter en toute confiance les étapes qu'il a suivies pour parvenir à sa conclusion. Alerte clôturée !

Les empreintes digitales CMS sont également des points de données importants lors du triage des signatures d'exploits observées par votre pare-feu et seront également affichées si elles sont observées.

Un pivot de 60 secondes dans les données de Censys ASM peut faire gagner du temps à votre équipe. Manuellement, ce processus peut prendre de 10 à 15 minutes. De plus, la qualité de l'examen par les analystes est améliorée grâce à l'utilisation de sources de vérité standard connues.

Pour aller plus loin, Censys Les données ASM peuvent être intégrées dans des solutions SIEM/SOAR où ces données enrichissent automatiquement l'alerte de signature d'exploit du pare-feu. Alerte reçue, enrichie avec les données ASM de Censys , alerte triée, alerte clôturée. L'analyste souffle du bout de sa souris et boit une gorgée de café avant de passer à l'alerte suivante.

Solutions de gestion de la surface d'attaque
En savoir plus