À propos des Formats des Indicateurs de Compromission

S'applique À : WatchGuard Advanced EPDR

Les Indicateurs de Compromission (IOC) sont une norme industrielle pour décrire les conditions sur les systèmes informatiques qui, si elles sont remplies, pourraient compromettre la sécurité d'une organisation. Le concept est similaire à celui d'un fichier de signature, mais les IOC utilisent un format ouvert qui permet la collaboration et l'échange de renseignements de sécurité.

Il existe plusieurs formats d'IOC qui décrivent des modèles de comportement suspects. WatchGuard Advanced EPDR est compatible avec la norme STIX 2.x.

STIX (Structured Threat Information Expression)

STIX est un langage basé sur JSON qui décrit les menaces de sécurité de manière structurée et interdépendante pour une meilleure lisibilité et compréhension. Il est basé sur des graphiques qui représentent intuitivement les objets et leurs relations.

Chaque IOC contient un certain nombre d'entités et de relations qui décrivent en détail un artefact ou un indicateur identifiant l'attaque. Par exemple, il peut s'agir d'adresses IP ou de domaines susceptibles d'héberger des serveurs de commande et de contrôle, ou de hachages MD5 ou SHA de fichiers suspects susceptibles de contenir des virus et d'autres menaces.

STIX vous permet également d'utiliser les informations décrites dans d'autres formats, tels que les règles YARA.

YARA (Yet Another Recursive Acronym)

YARA est un langage basé sur des règles utilisé pour créer des descriptions de familles de malware avec des modèles textuels ou binaires. Ces règles incluent un ensemble de chaînes et d'expressions booléennes pour définir leur logique et sont utilisées dans les recherches sur des fichiers potentiellement infectés.

Un IOC ne peut inclure qu’une seule règle YARA dans sa définition, même si cette règle peut être suffisamment complexe pour détecter des familles entières de malware.

Autres Formats

Il existe actuellement plusieurs autres formats ouverts d'IOC pour l'échange de renseignements de sécurité qui offrent des fonctionnalités similaires à STIX et YARA. Ces autres formats incluent OpenIOC et TAXII. Un format IOC peut également contenir des versions non compatibles entre elles (par exemple, STIX 1.x et 2.x).

Pour utiliser un IOC dans un format qui n'est pas pris en charge par WatchGuard Advanced EPDR, vous pouvez utiliser un outil gratuit pour convertir l'IOC au format STIX 2.x.

Rubriques Connexes

Indicateurs de Compromission (IOC) dans WatchGuard Advanced EPDR

À propos de la Galerie des IOC

Créer une Tâche de Recherche d'IOC

© 2024 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.