Elastic Security intègre nativement Google Threat Intelligence : les adresses IP, domaines, URLs et hachages de fichiers connus et malveillants, correspondant à votre télémétrie dès leur apparition, chacun portant un verdict et un score de menace de 0 à 100. La configuration se compose d’une clé API et de deux flux de données, sans infrastructure supplémentaire. Lorsqu’un indicateur est ambigu, les workflows construits sur Agent Builder interrogent VirusTotal en temps réel, enrichissent l’alerte, corrélent avec votre télémétrie et résument les résultats en temps réel.
Comment fonctionne le renseignement sur les menaces dans Elastic Security
Dans les opérations de sécurité modernes, le renseignement sur les menaces doit fonctionner à travers la détection, l’enquête et la réponse, et non se retrouver dans un tableau de référence.
Elastic Security soutient cela de deux manières. L’intelligence ingérée via des intégrations favorise la détection continue et la chasse historique. Les flux de travail agents, construits sur Elastic Workflows et Agent Builder, offrent un enrichissement à la demande et un raisonnement d’investigation lors d’une enquête active. Cet article se concentre sur la manière dont l’intégration Google Threat Intelligence (GTI) d’Elastic permet la détection et la chasse par ingestion, et comment elle s’inscrit dans un modèle SOC plus large et dynamique où les workflows pilotés par l’IA utilisent cette intelligence lors de l’alerte.
Ce que propose Google Threat Intelligence
L’intégration Google Threat Intelligence intègre directement des renseignements sur les menaces sélectionnés dans Elastic Security, les rendant exploitables à travers la détection et l’enquête. GTI combine les renseignements issus de la visibilité mondiale de Google en matière de sécurité avec les données VirusTotal pour fournir un contexte enrichi sur les indicateurs de compromission, couvrant les malwares, ransomwares, phishing, voleurs d’informations, infrastructures malveillantes, acteurs malveillants et autres activités adverses.
Chaque indicateur est retourné avec : un verdict (Malveillant, Suspect ou Non détecté), une gravité et un score de menace composite de 0 à 100. Parce que ce score est dérivé de plusieurs signaux, les équipes de sécurité peuvent prioriser les indicateurs en fonction de la confiance plutôt que de leur seule présence.
Comment fonctionne l’intégration du renseignement sur les menaces de Google dans Elastic Security
L’installation ne prend que quelques minutes. Vous fournissez votre clé API GTI dans l’intégration Elastic, et l’ingestion commence à un intervalle de sondage programmé, sans infrastructure ou collecteur supplémentaire nécessaire. L’intégration intègre deux flux de données principaux.
| Finalité | Liste de menaces | Filière IOC |
|---|---|---|
| Finalité | Détection à haute confiance | Chasse à la menace + visibilité précoce |
| Volume | Sélectionné, en volume plus faible | Plus large, plus haut volume |
| Idéal pour | Alertes critiques de précision | Activité émergente et exploratoire |
Au fur et à mesure de l’ingéré des données, les indicateurs sont standardisés à l’aide du schéma commun élastique (ECS), ainsi que du contexte GTI, tels que le verdict, la gravité, le score, les familles de malwares, les associations d’acteurs menaçants et les métadonnées de campagne (lorsque disponibles). Cela permet de rechercher et de corréler le GTI de manière cohérente aux côtés d’autres sources de renseignement conformes à l’ECS (y compris les flux TAXII), du renseignement personnalisé, et de la télémétrie de sécurité plus large déjà présente dans Elastic Security. Elastic gère également automatiquement le cycle de vie des indicateurs, y compris l’expiration et la révocation, ce qui réduit les correspondances contre une intelligence obsolète. Une fois ingérés, les indicateurs GTI font partie intégrante du même ensemble de données consultable que les journaux, les points d’accès et la télémétrie cloud, permettant une corrélation unifiée à travers l’environnement.
Utilisation de Google Threat Intelligence pour la détection de correspondance d’indicateurs
Les règles de correspondance des indicateurs d’Elastic utilisent les données GTI pour détecter lorsque des adresses IP, domaines, URLs ou hachages de fichiers malveillants connus apparaissent dans la télémétrie de sécurité, corrélant en continu le renseignement avec l’activité observée et faisant remonter les correspondances pour enquête. Parce que le GTI fournit des champs structurés tels que score, verdict et sévérité, les équipes peuvent ajuster les détections par confiance : les indicateurs à haute confiance peuvent déclencher une escalade immédiate, tandis que ceux à faible confiance peuvent être acheminés pour examen ou validation supplémentaire.
Chasse aux menaces avec des indicateurs GTI dans Elastic Security
Avec les métadonnées GTI, les analystes peuvent passer d’un seul IOC à toute l’infrastructure associée et rechercher la télémétrie historique ; Pas seulement vérifier si un indicateur est apparu, mais aussi comprendre à quelle campagne il appartient.
GTI enrichit les indicateurs avec des métadonnées telles que les associations d’acteurs malveillants et le contexte de la famille de malwares, permettant aux analystes d’aller au-delà des recherches à IOC unique. Les chasseurs peuvent pivoter d’un adversaire ou d’une campagne vers tous les indicateurs associés (IP, domaines et hachages de fichiers) et effectuer des recherches sur la télémétrie historique en utilisant ES|QL. Cela facilite la détermination de l’existence d’une infrastructure malveillante connue avec l’environnement.
Surveillance de l’activité de renseignement sur les menaces avec les tableaux de bord GTI
L’intégration comprend des tableaux de bord préassemblés qui offrent une visibilité sur l’activité de renseignement menaçant et sur les lecteurs GTI de détection. En utilisant des recherches sauvegardées et des métriques agrégées, ces tableaux de bord résument les menaces observées à travers les familles de malwares, les campagnes, les acteurs malveillants, les ensembles d’outils et les vulnérabilités, aidant les équipes SOC à comprendre quels types de menaces sont les plus actifs dans leur environnement et comment le renseignement est opérationnel.
Catégories et couvertures du fil d’actualité Google Threat Intelligence
GTI inclut 14 catégories de flux catégorisées, afin que les organisations puissent adapter la couverture à leurs besoins et au niveau d’abonnement. Les catégories prises en charge incluent :
- Mineurs de cryptomonnaie
- Menaces tendance
- Vecteurs d’accès initial et de livraison
- Infostealers
- Menaces IoT
- Malveillant Linux
- Infrastructure malveillante
- Malmalheur général
- Menaces mobiles
- Menaces sur macOS
- Phishing
- Ransomware
- Acteurs malveillants
- Exploitation de la vulnérabilité et militarisation
La disponibilité dépend de votre niveau d’abonnement Google Threat Intelligence, et des flux supplémentaires peuvent être activés sans modification de la configuration Elastic.
Enrichissement agent et triage en temps réel avec Elastic Workflows
Pour les indicateurs ambigus ou émergents qui ne figurent pas encore dans un flux indexé, Elastic Security prend en charge l’investigation pilotée par l’IA via Agent Builder et Elastic Workflows, qui complètent l’ingestion d’intelligence en permettant l’enrichissement et le raisonnement en temps réel lors d’une enquête.
Avec les flux de travail, un analyste n’est plus limité aux renseignements déjà présents dans l’index. Lors du triage des alertes, un flux de travail peut interroger en temps réel des services externes de renseignement et de réputation tels que VirusTotal, enrichir une alerte avec un contexte neuf sur les IP, domaines ou hachages de fichiers concernés, corréler cette intelligence en temps réel avec la télémétrie Elastic, et résumer les résultats dans un contexte d’enquête structuré sur lequel l’analyste peut agir. Agent Builder va encore plus loin : les équipes peuvent composer des capacités réutilisables et spécifiques à chaque tâche, telles que des compétences d’agent pour le triage d’alertes, l’enrichissement ou la gestion des cas, de sorte que l’assistant exécute des tâches d’enquête en plusieurs étapes avec la cohérence de l’automatisation traditionnelle, via une interface en langage naturel.
Cela introduit un modèle complémentaire. L’intelligence ingérée (GTI, TAXI, et flux personnalisés) offre une détection continue et une chasse historique par rapport aux indicateurs que vous détenez déjà. Les flux de travail agents fournissent un enrichissement à la demande et un raisonnement d’investigation en temps réel, en contactant des sources en direct et en rassemblant le contexte à la volée. Ensemble, ils permettent aux équipes de détecter des menaces connues à grande échelle et de fournir du contexte aux enquêtes.
Débuts avec Google Threat Intelligence dans Elastic Security
Pour utiliser l’intégration Google Threat Intelligence dans Elastic Security, il vous faut une licence GTI active et une clé API.
- Installer : ouvrir le catalogue Intégrations à Kibana → chercher « Google Threat Intelligence » → ajouter une intégration → entrer votre clé API
- Configurez les flux de données : activez la Liste des menaces (détections à haute confiance) et le flux IOC (chasse à la couverture) → réglez la fréquence des sondages pour correspondre aux limites de l’API et aux besoins opérationnels
- Réglage : règles de match indicatrices prédéfinies s’activent automatiquement ; Si le volume d’alertes est élevé, commencez par filtrer selon le seuil de confiance
Tous les indicateurs sont stockés dans Elasticsearch et accessibles via la vue de données de renseignement de menace GTI, permettant la recherche, la corrélation et la logique de détection personnalisée. Les détails complets de configuration et les conseils de dépannage sont disponibles dans la documentation officielle.
Le lien entre les deux
Le renseignement sur les menaces ne compte que si une équipe peut agir en conséquence. En intégrant Google Threat Intelligence dans Elastic Security, les équipes SOC disposent d’une détection basée sur l’ingestion qui fonctionne en continu sur leur télémétrie et un raisonnement d’enquête piloté par l’agent sur ces renseignements en temps réel. Cette combinaison permet au renseignement sur les menaces d’opérer de manière continue et contextuelle, aidant les analystes à passer plus rapidement des indicateurs à des décisions confiantes.