Comment effectuer correctement le triage en cas d'incident

Le triage est la première étape du processus de réponse aux incidents après détection, que tout intervenant met en œuvre pour ouvrir un incident ou signaler un faux positif. La mise en place d'un processus de triage efficace et précis permet de réduire la charge de travail des analystes, d'accélérer la résolution des incidents et de garantir que seules les alertes valides soient qualifiées d'“ enquête ou d'incident ”.

Chaque étape du processus de triage doit être réalisée avec urgence, car chaque seconde compte en situation de crise. Cependant, les équipes de triage sont confrontées à la difficulté majeure de filtrer un volume important d'informations pour n'en retenir qu'un flux continu d'événements. Voici quelques suggestions pour accélérer l'analyse avant la validation des données :

• Organisation: Réduisez les analyses redondantes en mettant en place un flux de travail permettant d'attribuer les tâches aux intervenants. Évitez de partager une même boîte mail ou un même alias entre plusieurs intervenants. Utilisez plutôt un outil de gestion des flux de travail, comme ceux proposés par les solutions SOAR (Security Orchestration, Automation, and Response), pour l'attribution des tâches. Mettez en œuvre un processus permettant de réattribuer ou de refuser les tâches hors du champ d'application du triage.
• Corrélation: Utilisez un outil tel qu'un système de gestion des informations et des événements de sécurité (SIEM) pour regrouper les événements similaires. Reliez les événements potentiellement liés en un seul événement utile.
• Enrichissement des données : Automatisez les requêtes courantes effectuées quotidiennement par vos équipes d'intervention, telles que les recherches DNS inverses, les recherches de renseignements sur les menaces et le mappage IP/domaine. Ajoutez ces données à l'enregistrement de l'événement ou rendez-les facilement accessibles.

Pour mener à bien le processus initial de triage en cas d'incident, il est essentiel d'agir rapidement. Cependant, une approche plus détaillée et mesurée est nécessaire lors de la vérification de l'événement. Il est crucial de présenter un dossier solide qui pourra être évalué avec précision par les analystes de votre centre des opérations de sécurité (SOC) ou de votre équipe de réponse aux incidents de cybersécurité (CIRT). Voici quelques conseils pour la vérification :

• Données adjacentes : Consultez les informations associées à l'événement. Par exemple, si un point de terminaison présente une signature virale, vérifiez s'il existe des preuves que le virus est en cours d'exécution avant de demander des mesures de réponse supplémentaires.
• Revue de renseignement : Il est essentiel de comprendre le contexte de ces renseignements. Le fait qu'une adresse IP ait été signalée comme faisant partie d'un réseau de zombies la semaine dernière ne signifie pas qu'elle en fait toujours partie aujourd'hui.
• Priorité initiale : Alignez-vous sur les priorités opérationnelles en matière d'incidents et classez-les de manière appropriée. Veillez à consacrer à chaque incident le niveau d'effort adéquat.
• Analyse croisée : Recherchez et analysez les clés potentiellement partagées, telles que les adresses IP ou les noms de domaine, dans plusieurs sources de données pour une meilleure acuité des données.

Une fois un événement vérifié, il est transformé en enquête ou en incident. Tous les incidents doivent alors faire l'objet d'une enquête et d'un suivi par vos équipes SOC ou CIRT, conformément à votre procédure d'enquête.

La plateforme SOAR de Swimlane automatise la majeure partie du processus de triage en cas d'incident, notamment l'attribution des tâches et l'enrichissement des données. Votre équipe dispose ainsi du contexte nécessaire pour mener des analyses plus approfondies. D'autres étapes du processus de réponse aux incidents, comme la recherche de renseignements sur les menaces et les mesures correctives, peuvent également être automatisées. Grâce à SOAR, vous améliorez considérablement l'efficacité de vos opérations de sécurité, tout en réduisant les risques et en renforçant la protection contre les menaces.

Vous voulez voir l'automatisation du triage des incidents en action ? Regardez notre courte vidéo. vidéo.
Prêt à découvrir en détail les avantages de l'automatisation de vos processus de triage et de réponse aux incidents en général ? Planifiez une démonstration personnalisée Avec Swimlane, découvrez des solutions de sécurité “ Conçues par des analystes, pour des analystes ”.

*Adapté d'un document existant Syncurité Article de blog.

Démonstration d'automatisation du triage des alertes Splunk (4:11)

Cette vidéo de démonstration illustre le tri automatisé des données d'alertes de sécurité reçues de Splunk. Dans cette démonstration, les données sont acquises par Splunk, enrichies par VirusTotal, puis des mesures sont prises via une intégration Symantec Endpoint Protection si elles sont jugées malveillantes.

Regardez maintenant