Découvrez l'Intelligence dans la plateforme SOC IA de Sekoia
Grâce à des informations assistées par l'IA, des enquêtes guidées et une collaboration fluide, Sekoia aide les équipes à surmonter la complexité et à garder une longueur d'avance sur les menaces évoluant rapidement.
Sekoia Intelligence fournit du renseignement sur les menaces stratégique et technique, modélisé au format STIX 2.1. La plateforme inclut des rapports FLINT produits par l'équipe TDR de Sekoia, regroupant des investigations et des analyses techniques approfondies sur les menaces. Chaque rapport propose une analyse détaillée de menaces spécifiques ou une vue d'ensemble de la situation cyber pour des pays ou secteurs, développée par l'une des plus grandes équipes privées de recherche CTI en Europe. Tous les objets de la plateforme sont pleinement contextualisés avec des relations entre objets standardisées via le modèle STIX 2.1. La plateforme inclut des pages d'analyse de malwares avec un moteur de télémétrie indiquant si le malware et les IOCs associés ont été détectés dans les journaux de sécurité. Chaque page malware fournit des informations contextuelles incluant les sources mentionnant et qualifiant la menace, le type de menace, les premières dates de détection, les TTPs MITRE ATT&CK et la couverture Cyber Kill Chain. Les utilisateurs peuvent explorer les objets associés tels que les acteurs de la menace, les campagnes connues, les IOCs révélant la présence du malware et les TTPs utilisés. Pour les Indicateurs de Compromission, l'équipe définit des dates de validité avec des règles d'expiration par défaut : 1 mois pour les adresses IP et 25 ans pour les hashes de fichiers. Les analystes peuvent modifier ces valeurs manuellement si nécessaire. La base de données est consultable et filtrable pour des objets de renseignement spécifiques. Les observables correspondent à des artefacts techniques observés lors d'investigations, comme des listes de serveurs DNS publics connus. Sekoia Intelligence utilise des sources propriétaires exclusives et intègre le renseignement de plus de 450 sources externes, chacune qualifiée par un niveau de fiabilité. Les Collections d'IOCs permettent de centraliser les IOCs dans un emplacement unique, utile pour le partage inter-CERT ou l'accès aux IOCs depuis d'autres fournisseurs. Les IOCs peuvent être importés via CSV, fichiers XLS ou directement dans un champ texte. Les utilisateurs peuvent ajouter du contexte aux IOCs, notamment les menaces associées et les dates d'expiration, et les collections peuvent être exportées. L'exploration graphique permet de créer des représentations visuelles personnalisées pour investiguer des menaces spécifiques, comme la construction de visualisations autour d'un malware pour afficher son contexte et ses relations avec d'autres objets tels que des campagnes et des TTPs. La plateforme supporte l'opérationnalisation via plusieurs options de distribution vers des systèmes tiers : intégration dans un SIEM pour la détection et la recherche, des plateformes SOAR pour l'enrichissement et la réponse aux incidents, des Threat Intelligence Platforms pour des bases de données consolidées, et une intégration directe avec des équipements de sécurité comme les EDR et les firewalls. Les intégrations utilisent les applications Sekoia sur les marketplaces éditeurs, des connecteurs TAXII pour le transport STIX, des connecteurs MISP ou l'API. La fonctionnalité Feeds permet de filtrer le renseignement pour sélectionner une portée spécifique : uniquement les IPv4/IPv6 pour la distribution firewall, uniquement les hashes de fichiers pour la distribution EDR, ou le renseignement produit par des sources spécifiques.
