Produit

OpenCTI & HarfangLab : un connecteur pour enrichir les données CTI et optimiser la réponse à incidents

OpenCTI est une solution utilisée par les équipes CTI, les analystes cyber, et de nombreux CERT et SOC. C’est une base de connaissance d’IOC (Indicator Of Compromise) qui centralise les données CTI pour mieux connaître et structurer les informations sur les menaces et les groupes d’attaquants.
4 min

Toutes les données, alertes, événements… de tous les outils de sécurité peuvent être centralisés pour les analyser et les contextualiser, en les comparant avec les bases d’IOC constituées dans OpenCTI, notamment pour contextualiser la menace et enrichir les événements de sécurité identifiés avec ces informations.  

 En effet, le fait de collecter toutes les données CTI (Cyber Threat Intelligence) et de pouvoir corréler les événements de sécurité favorise une meilleure connaissance du contexte cyber pour savoir comment : 

  • se prémunir contre les attaques,  
  • réagir en cas d’incident, 
  • tirer parti de ce qui a déjà été mis en place en réponse à incident, en capitalisant sur les connaissances acquises… 

C’est un besoin évidemment partagé par de nombreuses organisations, des entreprises de toutes tailles aux institutions publiques en passant par les partenaires, et c’est entre autres ce qui a poussé Filigran, éditrice d’OpenCTI, à développer un connecteur entre nos deux outils. Au préalable, pour profiter des avantages de ce connecteur, il faut avoir mis en place un certain nombre de dispositifs (SOC, gouvernance, ressources dédiées à l’analyse…). 

Que permet de faire le connecteur OpenCTI x HarfangLab ? 

Concrètement, le connecteur développé par Filigran permet : 

  • d’intégrer les IOC d’OpenCTI dans HarfangLab,  
  • et de récupérer les Security Events et les Threats d’HarfangLab pour les intégrer dans OpenCTI.  

Cette intégration offre ainsi la possibilité de gérer toute la base de connaissances CTI dans OpenCTI, et d’exporter les données dans d’autres outils. 

En pratique, les IOC sont intégrés dans OpenCTI, et peuvent ensuite être intégrés dans l’EDR, en les enrichissant des informations nécessaires pour les catégoriser, les décrire, gérer leur cycle de vie… 

Ces IOC peuvent être des hash, fullpath (exécution d’un binaire à un endroit donné avec détails sur le chemin complet), filename (fichier portant un nom spécifique), Domain name, IP (dans le cas d’échanges avec une IP connue comme étant problématique)… 

Aussi, tous les IOC peuvent être configurés dans HarfangLab en mode bloquant (pour tuer le processus) ou en alerte, selon la politique choisie. 

Vous voulez en savoir plus sur le code source de notre connecteur ? 
Il est accessible ici. 

Quels sont les avantages du connecteur OpenCTI x HarfangLab ? 

Voici 4 avantages majeurs de l’intégration OpenCTI et HarfangLab :  

Capacités de détection accrues  

Le connecteur renforce la détection des menaces par HarfangLab, en tirant parti d’un vaste référentiel d’indicateurs de haute qualité d’OpenCTI. Cette collaboration garantit l’accès à un ensemble complet et varié d’indicateurs, améliorant la précision de l’identification des menaces et réduisant le risque de faux positifs 

Automatisation et efficacité 

Le connecteur de Filigran facilite la transmission automatique et en temps réel des indicateurs d’OpenCTI. Le processus de détection est ainsi rationalisé, ce qui garantit que les informations critiques sur les menaces sont rapidement communiquées et prises en compte par les moteurs de détection de l’agent. Il permet en outre d’ajouter automatiquement des IOC.  

Réponse à incident basée sur la data 

Les alertes, sur la base des Security Events et des Threats récupérés par OpenCTI, exploitent la base de connaissances complète sur les menaces d’OpenCTI, fournissant aux analystes le contexte nécessaire pour évaluer efficacement les menaces.  
Les analystes ont également accès à l’ensemble des fonctionnalités d’OpenCTI, y compris la gestion des cas et les règles d’automatisation, ce qui contribue à une réponse efficace aux incidents.  
Par ailleurs, les Threats disponibles dans HarfangLab sont aussi récupérées par OpenCTI, ce qui permet aux analystes d’avoir des informations harmonisées entre les différents outils. 

Intégration et usabilité  

Cette intégration offre une expérience transparente sur l’échange de données entre OpenCTI et HarfangLab, ce qui réduit considérablement la charge de travail manuel des analystes.  

En somme, cette collaboration permet aux experts en sécurité de gagner un temps précieux et de se concentrer sur des tâches plus critiques ! 

Au quotidien, comment investiguer efficacement ?  
Pourquoi l’analyse humaine reste indispensable ?