Dans cet article, vous découvrirez comment exploiter les IOCs disponibles dans les bulletins Yuno.SOMMAIRE
Définition ⬇︎
Qu'est-ce qu'un IOC ?Un indicateur de Compromission est un marqueur technique (IP, nom de domaine, hash) caractérisant un mode opératoire, un code malveillant, ou encore une campagne d'attaque. Dans le cadre de Yuno, ces éléments sont collectés au sein des différentes sources qualifiées et analysées par nos analystes.
Les bulletins Yuno de type INFO possèdent un champ "Indicateur de compromission". Ce dernier répond a plusieurs objectifs :
- Caractériser précisément la menace évoquée dans un bulletin, en fournissant un contexte technique exploitable de manière automatique (via l'API par exemple) ou manuelle par les outils ou les analystes chez nos clients.
- Faciliter la détection ou le blocage de ces menaces au sein de votre système d'information.
Format des IOCs
Afin de standardiser le contenu de ce champ, la syntaxe utilisée correspond à celle utilisée au sein de MISP (standard DataModels).
De manière générale, ce champ au format texte contient 1 entrée par ligne, dont le format est le suivant :
<prefixe>:<valeur>
L'ensemble des IOCs disponibles dans un bulletin Yuno est "défangué" par les analystes XMCO afin d'éviter tout clic malencontreux sur un IOCs (noms de domaine, URL, ...).
Contextualisation des IoCs
Afin d'apporter plus d'informations sur les IoCs, les analystes Yuno peuvent ajouter des lignes de commentaire pour faire le lien avec nom d'une menace (mode opératoire ou malware par exemple) correspondant à l'un des "tags" associés au bulletin Yuno. Ce label doit être orthographiquement identique au tag.
Dans ce cas, le champ aura un format du type :
# tag-menace <prefixe>:<valeur>
À noter, plusieurs particularités à garder en tête :
- Si la première ligne du champ IOC n'est pas un tag / nom de menace, ces IOCs sont considérés comme "génériques" par rapport au bulletin.
- Il est possible d'ajouter plusieurs lignes de commentaire au sein du champ IOC pour les caractériser correctement.
- Tout ce qui est en dessous d'un tag / nom de menace est lié directement à cette menace.
La syntaxe doit être de la manière suivante :
Champ IoC | Notes |
|---|---|
md5:XXXXXXXX | IoCs non liés à une menace |
... | |
# Menace 1 | |
md5:XXXXXXXX | IoCs liés à la menace 1 |
... | |
# Menace n | |
md5:XXXXXXXX | IoCs liés à la menace n |
... |
Attention : bien que Yuno fournisse des IOCs au travers des bulletins INFO, et que ces données puissent être exploitées de manière automatisée au travers de l'API du Portail, Yuno ne propose pas de flux d'IOC ("feed") à proprement parler. Un flux d'IOC répond à un besoin particulier, et a des caractéristiques techniques et fonctionnelles spécifiques (structure, format d'échange, fréquence de mise à jour, données contextuelles disponibles, etc.) auquel Yuno ne répond pas.Type d'IOCs
Dans le contexte de l'intégration des IOCs disponibles dans les bulletins Yuno au sein de votre TIP (Threat Intel Plateform), une corrélation peut être effectuée entre les types MISP issus du DataModels, et les objets de type Observable issus du standard STIX 2.1.
YUNO IoC data-types | STIX2.1 Observable object |
md5 sha1 sha256 sha512 filename|md5 filename|sha1 filename|sha256 filename|sha512 | File |
as | AutonomousSystem |
hostname | Hostname (Custom) |
domain | DomainName |
email-src | EmailAddress |
email-body | EmailMessage |
ip-src | IPv4Address, IPv6Address |
ip-dst | IPv4Address, IPv6Address |
mac-address | MACAddress |
mutex | Mutex |
text | Text (Custom) |
url | URL |
process | Process |
software | Software |
user-agent | UserAgent (Custom) |
regkey|value regkey | WindowsRegistryKey |
account | UserAccount |
dir | Directory |
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article