Détection des menaces avec MITRE ATT&CK et l'agent d'IA D3FEND

Détection des menaces avec MITRE ATT&CK et l'agent d'IA D3FEND

Voici une question que je n'entends pas assez souvent posée par les responsables de la sécurité : Savons-nous réellement lesquels de nos outils existants nous protègent déjà contre les menaces auxquelles nous sommes confrontés quotidiennement ?

La plupart des équipes de sécurité ont adopté MITRE ATT&CK sous une forme ou une autre. C'est devenu le langage commun des adversaires, et c'est une excellente chose. Mais ATT&CK ne raconte que la moitié de l'histoire : il décrit les actions de l'attaquant, mais ne vous dit pas ce que vous avez déjà mis en place pour le contrer. C'est là que… MITRE D3FEND C'est là que, selon moi, la plupart des organisations laissent passer une opportunité considérable.

Le problème, c'est que l'association manuelle des alertes aux techniques ATT&CK, sans parler du recoupement avec les contre-mesures D3FEND, est impossible à grande échelle. C'est fastidieux, incohérent et, soyons honnêtes, la plupart des analystes l'abandonnent quand la file d'attente est longue. On se retrouve avec des associations incomplètes, aucun contexte défensif et un RSSI incapable d'expliquer clairement la couverture de son infrastructure de sécurité.

C'est le genre de problème qu'un système conçu à cet effet peut résoudre. Agent IA Cela fonctionne bien. Non pas un modèle gigantesque qui tente de tout faire, mais un agent spécialisé qui accomplit une tâche précise avec une expertise comparable à celle d'un analyste, voire supérieure. Dans ce cas précis, cette expertise consiste à associer vos alertes à des cadres de référence standardisés et à mettre en évidence les capacités de défense dont vous disposez déjà. C'est exactement ce que Agent AI MITRE ATT&CK et D3FEND, héros de Swimlane à l'intérieur Turbine de couloir de nage, et c'est l'un des premiers agents d'une flotte qui ne cesse de s'agrandir.

Le SOC IA a besoin d'une flotte, pas d'un seul cerveau

Je le dis depuis un certain temps déjà, et le secteur commence à le comprendre : la voie vers un SOC basé sur l’IA ne passe pas par un seul agent surpuissant qui tente de remplacer un analyste entier. Il s’agit plutôt d’une flotte de petits agents experts, chacun correspondant à une étape spécifique du flux de travail de l’analyste : enrichissement, déduplication, collecte de contexte, hypothèse, recommandation et décision. Chaque agent gagne la confiance de ses analystes en prouvant qu’il peut égaler, voire surpasser, leurs performances.

Présentation des premiers agents experts en IA héroïques

Swimlane Héros IA Cette approche repose sur quatre agents fondamentaux : Agent de verdict pour le règlement des affaires, le Agent de renseignement sur les menaces pour la corrélation TI inter-sources, le Agent d'enquête pour les plans d'enquête de bout en bout, et l'agent MITRE ATT&CK & D3FEND pour la cartographie des cadres de référence. Ce sont les premiers d'une flotte qui s'étend à travers Marché Swimlane et un outil de création d'agents qui permet aux équipes de créer les leurs.

L'importance de cette architecture ne tient pas seulement à des raisons techniques, mais aussi opérationnelles. Lorsque chaque agent a un périmètre d'action précis, on peut l'évaluer, le mesurer et instaurer progressivement la confiance. Il n'est pas nécessaire de faire aveuglément confiance à “ l'IA ”. Il faut avoir confiance que cet agent en particulier Cela permet de faire correspondre les alertes de phishing aux techniques d'ATT&CK, ainsi qu'à votre analyste de niveau 2. C'est un problème beaucoup plus facile à résoudre.

Analyse approfondie : Comment fonctionne l’agent MITRE ?

L'agent accomplit une tâche d'une simplicité trompeuse, mais d'une grande puissance opérationnelle : il collecte les alertes de sécurité provenant de vos sources de journaux, de vos terminaux et des événements réseau, puis les associe en temps réel aux techniques ATT&CK et aux contre-mesures défensives D3FEND. Je vais vous expliquer concrètement comment cela fonctionne.

Imaginez que votre SOC reçoive une alerte indiquant qu'un employé a cliqué sur une URL suspecte dans un e-mail.

• Cartographie ATT&CK : L'agent associe l'alerte à T1566.002 (Lien d'hameçonnage ciblé). Si une charge utile est exécutée en aval, la chaîne est étendue à T1059.001 (PowerShell).
• Recherche de contre-mesures D3FEND : Pour contrer cette technique d'hameçonnage, l'agent déploie des techniques de défense dans plusieurs catégories. Côté détection : analyse des messages pour l'inspection des e-mails, analyse de la réputation des URL par rapport aux renseignements sur les menaces, analyse de la réputation de l'expéditeur et détection des homoglyphes pour les domaines similaires. Côté isolation : filtrage des e-mails et blocage DNS. Côté renforcement de la sécurité : authentification des messages (SPF, DKIM, DMARC) et authentification multifacteur.
• Évaluation de la couverture des outils — et c'est cette partie qui, à mon avis, est souvent négligée. L'agent compare les techniques D3FEND aux outils que vous avez déployés. Proofpoint assure l'analyse de la réputation des URL. Mimecast gère l'analyse des messages et le filtrage des e-mails. Cisco Umbrella gère le blocage DNS. CrowdStrike Falcon analyse l'exécution des scripts pour toute activité de type T1059.

ATT&CK vous indique les actions de l'attaquant. D3FEND vous indique les ressources dont vous disposez déjà pour le contrer et identifie les failles de sécurité.

Cette deuxième partie est une mine d'or pour les responsables de la sécurité. Au lieu de se présenter à une réunion du conseil d'administration avec des descriptions abstraites des menaces, vous pouvez démontrer une couverture défensive concrète, alignée sur les schémas d'attaque réels. D3FEND transforme vos dépenses de sécurité : au lieu de vous contenter de dire “ croyez-moi, nous en avons besoin ”, vous expliquez précisément “ voici contre quoi cet investissement protège et voici la faille qu'il comble ”. C'est ainsi que vous prouvez le retour sur investissement de vos projets existants, et non plus seulement que vous justifiez le prochain.

Regardez une démo d'une minute de l'agent MITRE Hero AI

Pourquoi le raisonnement est important pour l'IA dans le SOC

Je serai bref dans cette section, car j'approfondirai ce sujet lors de notre discussion sur l'agent de verdict plus loin dans cette série d'articles. En résumé : l'IA au sein d'un SOC n'a pas besoin d'être parfaite pour être utile. Elle doit simplement être suffisamment explicable pour qu'un analyste puisse comprendre le raisonnement derrière une décision et la valider rapidement.

L'agent MITRE ne se contente pas de fournir un identifiant de technique. Il en détaille le raisonnement : les données d'alerte, la justification de l'association avec cette technique, les contre-mesures et la couverture. Un analyste peut ainsi valider cette chaîne en quelques secondes, au lieu d'y consacrer une demi-heure manuellement. L'objectif est d'obtenir rapidement des résultats fiables, sans viser la perfection.

Au fil du temps, lorsque l'agent produit des résultats similaires à ceux de vos analystes, vous pouvez le laisser fonctionner sans intervention humaine pour vérifier chaque correspondance. C'est le principe de la confiance progressive, et c'est ainsi que chaque agent du parc devrait gagner en autonomie.

Impact concret : réduire de moitié le MTTR

Swimlane gère son propre centre des opérations de sécurité (SOC) Sur Turbine, ce que j'apprécie car il n'y a rien de pire qu'un fournisseur qui refuse d'appliquer ses propres méthodes. Leur MTTR est passé de 6 heures à 30 minutes grâce à l'automatisation progressive, puis a encore diminué de 511 TP3T après le déploiement des agents Hero AI, pour atteindre moins de 9 minutes. Cela représente environ 60 heures de travail d'analyste économisées par semaine et près de 350 dossiers résolus automatiquement chaque semaine.

Lire l'étude de cas Swimlane AI SOC

L'analyse indépendante de TAG Cyber a révélé que les entreprises utilisant Turbine atteignent 240% Retour sur investissement dès la première année, et ses recherches sur l'automatisation SecOps pilotée par l'IA mettent particulièrement en évidence l'architecture LLM privée, l'absence de sortie de données de l'environnement et l'absence de dépendances à des modèles tiers comme des facteurs de différenciation clés pour les équipes soucieuses de la gouvernance.

Lisez le rapport de TAG Cyber sur l'utilisation de l'IA pour les opérations de sécurité.

Conseils pour les équipes SOC débutant avec l'IA

La prise en main est plus simple qu'il n'y paraît : il vous faut l'historique des tickets et les notes d'analyse expliquant pourquoi ils ont été clôturés, escaladés ou jugés bénins. Si vous disposez d'articles de base de connaissances et de manuels d'exploitation, c'est parfait. Sinon, vous pouvez utiliser l'IA pour les générer à partir d'anciens cas et les considérer comme votre base de connaissances initiale. Ensuite, vous itérez, comparez les performances, mesurez les résultats et optimisez le processus.

L'avenir : une flotte croissante d'agents IA

L'agent MITRE ATT&CK & D3FEND est l'un des quatre premiers agents de la flotte de Swimlane. Toile de turbine permet aux équipes de créer leurs propres agents IA experts, en les intégrant directement par glisser-déposer dans les scénarios. Ce n'est que le début ; la flotte de Agents d'IA sur la place de marché Swimlane elle se développe rapidement, à la fois grâce à Swimlane et aux équipes qui développent des agents pour leurs propres cas d'utilisation.

C'est la bonne voie. Il ne s'agit pas d'un modèle unique, mais d'une équipe coordonnée où chaque agent excelle dans un domaine précis, contribue au travail des autres et, collectivement, prend en charge les tâches épuisantes des analystes. L'agent MITRE standardise le langage. L'agent de renseignement sur les menaces enrichit le contexte. L'agent de décision tranche. L'agent d'enquête élabore le plan.

J'approfondirai chacun de ces agents dans de prochains articles, notamment la manière dont l'agent de verdict gère la disposition explicable et dont l'agent d'investigation réduit les changements de contexte. Pour l'instant, retenez ceci : l'objectif d'un SOC IA n'est pas de remplacer votre équipe, mais de lui fournir un ensemble d'outils dont les capacités évoluent au fil du temps. L'agent MITRE est un excellent point de départ, car la connaissance des fonctionnalités de vos outils est l'une des compétences les plus sous-estimées en matière d'opérations de sécurité.