Lorsqu'une nouvelle technique d'acteur de la menace apparaît, que ce soit sur un blog de recherche, dans un flux de renseignements ou dans les dernières nouvelles, chaque chasseur de menaces se met instinctivement en mode hypothèse. Cela pourrait-il se produire dans mon environnement ? Des signaux précoces se cachent-ils dans le bruit ?
Prenez l'exemple de la récente étude TOLLBOOTH. Dès qu'Elastic Security Labs a publié la chaîne d'attaque, un analyste peut commencer à formuler des hypothèses basées sur les techniques spécifiques décrites, comme par exemple :
- Les journaux du serveur IIS historiquement gelés ou archivés ont-ils révélé des anomalies lorsqu'ils ont été réexaminés avec des données télémétriques complètes ?
- Y a-t-il des signes de vidage d'informations d'identification ou de tentatives d'escalade des privilèges sur l'un des serveurs IIS ?
C'est l'essence même de la chasse aux hypothèses : partir d'une menace naissante et poser rapidement des questions ciblées. C'est l'un des moyens les plus efficaces d'anticiper les nouvelles attaques, mais il exige une large visibilité et des outils capables de répondre à votre curiosité.
Cependant, la réalité pour de nombreuses équipes du SOC n'est pas à la hauteur. Ils sont confrontés à des silos de données, à des capacités de recherche limitées et à la lassitude des corrélations manuelles.
Elastic Security est conçu pour éliminer ces obstacles en permettant une chasse aux menaces basée sur des hypothèses, à la vitesse et à l'échelle. En unifiant la télémétrie de sécurité et en activant l'analyse à travers les clusters, les chasseurs de menaces peuvent poser des questions complexes sur l'ensemble de leurs données, corréler les signaux et valider des hypothèses rapidement sans assemblage manuel des données.
Cette capacité est fournie par le biais d'un ensemble d'éléments fondamentaux qui fonctionnent ensemble :
-
Les flux de travail agentiques trient les alertes, tandis qu'un assistant IA basé sur les connaissances génère des requêtes ES|QL validées, conduit la remédiation et recommande les prochaines étapes.
-
Elastic Security Labs pour intégrer directement dans les détections et les enquêtes des recherches sur les menaces et des informations sur les adversaires mises à jour en permanence.
-
Des règles de détection qui offrent une couverture prête à l'emploi alignée sur les techniques d'attaque et les scénarios de chasse du monde réel.
-
Analyse des entités pour corréler les utilisateurs, les hôtes et les services, attribuer des scores de risque et mettre en évidence les anomalies afin d'enrichir chaque enquête.
-
L'apprentissage automatique et la détection des anomalies permettent de repérer les écarts par rapport au comportement normal et d'identifier les menaces inconnues ou émergentes.
-
ES|QL, des visualisations et des recherches entre clusters pour permettre des requêtes rapides et expressives, des analyses intuitives et une recherche transparente dans des environnements distribués sans angles morts.
Ensemble, ces éléments donnent aux équipes de sécurité la vitesse, l'échelle et la profondeur analytique nécessaires pour passer d'une investigation réactive à une chasse aux menaces confiante et proactive, en testant des hypothèses sur l'ensemble de leurs données au sein d'une plateforme Elastic Security unique et unifiée.
Dans les bois : La chasse aux LOLBins dans le monde réel
Cette section montre comment une chasse aux menaces se déroule en pratique, en passant d'une barre de recherche vide à une menace confirmée et contenue, grâce à un scénario réel axé sur les poubelles LOLBins (Living Off the Land Binaries).
Construisez votre hypothèse avec un assistant IA alimenté par RAG
Votre enquête peut commencer avant même de rédiger une seule requête. Vous pouvez utiliser l'assistant IA d'Elastic, basé sur la génération augmentée par récupération (RAG), pour puiser dans des sources de connaissances fiables, telles que les recherches d'Elastic Security Labs, et construire les bases de votre hypothèse. Vous pouvez ajouter des sources fiables en tant que connaissances pour vous assurer que l'assistant reflète les données auxquelles vous vous fiez.
Si vous n'avez pas encore d'objectif précis, vous pouvez demander à l'assistant,
"Sur la base des tendances actuelles, par quelle hypothèse devrais-je commencer ma chasse aujourd'hui ? " L'assistant parcourt la base de connaissances configurée, qui fournit un contexte pertinent, et génère directement une hypothèse primaire accompagnée de raisons et de preuves à l'appui. Dans ce scénario, le contenu d'Elastic Security Labs a été ajouté à la base de connaissances pour fournir le contexte.
Installez-vous confortablement pendant que l'assistant IA crée votre requête de chasse aux menaces personnalisée.
Une fois que vous avez accepté l'hypothèse de LOLBin, l'assistant IA génère une requête précise de chasse aux menaces ES|QL adaptée à votre environnement. Au lieu d'écrire une syntaxe complexe à partir de zéro, vous obtenez une recherche ciblée conçue pour mettre en évidence les comportements suspects spécifiques.
Pour s'assurer que les requêtes sont prêtes à être exécutées, l'assistant Elastic AI utilise un flux de travail agentique pour générer des requêtes ES|QL sur mesure à partir de cas d'utilisation fournis par l'utilisateur. Il s'appuie sur les données de votre cluster Elastic pour élaborer des réponses précises et prêtes à l'emploi et effectue une validation automatique avant de renvoyer la requête finale. Cette validation en arrière-plan élimine la nécessité d'un dépannage manuel et permet d'obtenir une requête vérifiée et prête à l'emploi qui peut être intégrée directement dans votre calendrier d'enquête à partir de l'assistant IA.
Vous pouvez également lier un référentiel GitHub de requêtes de chasse aux menaces d' Elastic à la base de connaissances de l'assistant afin d'utiliser les requêtes existantes comme base de référence pour vos prochaines étapes.
Chasse aux menaces dans l'ensemble de votre environnement avec ES|QL
Si vous gérez un environnement global et que vous devez déterminer si cette activité se produit dans d'autres clusters, vous pouvez élargir votre hypothèse en demandant à l'assistant IA d'adapter la requête pour une recherche inter-clusters (CCS). Vous pouvez ainsi effectuer des recherches sur plusieurs clusters dans votre environnement, y compris sur des données gelées et à long terme, sans perturber votre flux de travail.
Passez en toute transparence de l'assistant IA à la vue chronologique et exécutez la requête. Cette recherche ciblée aboutit à une découverte critique : une instance de rundll32.exe s'exécutant sur un serveur Windows avec le nom d'hôte elastic-defend-endpoint sous le compte d'utilisateur gbadmin*.*.
Ajoutez du contexte avec des analyses et des visualisations
La recherche d'un hit n'est que la première étape ; vous devez maintenant déterminer s'il s'agit d'un administrateur effectuant une opération de maintenance ou d'une véritable attaque. La validation de vos idées nécessite une analyse approfondie des hôtes et des utilisateurs. En descendant dans l'hôte concerné, vous arrivez dans les détails de l'entité.
Ici, vous ne voyez pas seulement un nom d'hôte. Vous obtenez une vue consolidée du score de risque de l'hôte, des alertes spécifiques contribuant à ce score et de la criticité de l'actif, le tout en un seul endroit. En regroupant les signaux de détection, les anomalies comportementales et l'importance de l'actif, l'évaluation du risque de l'entité d'Elastic aide les analystes à comprendre rapidement pourquoi un actif est risqué, quelle est l'urgence de la menace et où se concentrer en premier lieu. Ce contexte unifié réduit le temps d'investigation, minimise les conjectures et permet d'établir des priorités en toute confiance dans les environnements à fort volume.
Confirmez l'anomalie grâce à l'apprentissage automatique
Lorsque vous examinez la note de risque, les preuves à l'appui sont affichées à côté. Vous pouvez voir les alertes spécifiques qui contribuent au score de risque élevé, y compris un mélange d'alertes de gravité moyenne et une alerte de Machine Learning (ML) telle que "Unusual Windows Path Activity".
La ML étant particulièrement adaptée à la détection d'écarts subtils qui échappent souvent aux règles statiques, le fait de voir une alerte de ML contribuer au score de risque permet de valider que cette activité n'est pas un simple bruit, mais qu'elle indique une anomalie comportementale significative.
Les détails de l'événement permettent de visualiser immédiatement l'évolution du processus, en révélant les preuves essentielles directement dans le panneau. Ces informations font passer votre hypothèse du statut de plausible à celui de prouvable.
Passez à l'action : De la connaissance à la réponse
Après avoir validé votre hypothèse en découvrant une activité suspecte, l'étape suivante consiste à réagir. Elastic Security permet aux intervenants d'agir directement à partir de leurs enquêtes sans changer de plateforme.
Une fois que la compromission d'un hôte est confirmée, vous pouvez agir à partir de la console en isolant l'hôte pour empêcher tout mouvement latéral ou en mettant fin à l'arbre de processus malveillant découvert lors de votre chasse au LOLBIN. Cette transition transparente entre l'enquête et la réponse permet un endiguement rapide en utilisant les mêmes outils et le même contexte.
Opérationnaliser les requêtes et automatiser la chasse
Pour automatiser les recherches futures et éliminer la vérification manuelle des schémas récurrents, vous pouvez directement importer une requête dans une règle de détection opérationnelle, ou créer une règle pour des comportements spécifiques, des anomalies ou de nouvelles valeurs de termes apparaissant pour la première fois, et la convertir en une règle de détection entièrement opérationnelle en un seul clic.
Dans les environnements d'entreprise, une chasse au LOLBin peut rapidement générer un volume important d'alertes. C'est là que la découverte des attaques par les agents fait toute la différence. Son objectif premier est de vous aider à effectuer un triage efficace en corrélant automatiquement les signaux et en mettant en évidence l'activité qui requiert une attention immédiate.
Vous pouvez également regrouper et étiqueter les alertes liées à la chasse et exécuter Attack Discovery spécifiquement sur ces ensembles pour découvrir des modèles significatifs. Cette flexibilité rend Attack Discovery précieux non seulement pour le triage automatisé des alertes, mais aussi pour les flux de travail de chasse aux menaces avancés et fondés sur des hypothèses.
Bonus : Automatiser avec Elastic Agent Builder
Imaginez la création d'un agent personnalisé LOLBin Hunter, conçu pourrechercher les activités LOLBin dans vos données de sécurité. En utilisant Elastic Agent Builder, vous pouvez créer cet agent alimenté par un LLM et équipé d'outils tels que les requêtes ES|QL utilisées dans votre flux de travail manuel.
Une fois configuré, vous pouvez interagir avec vos données de sécurité en utilisant le langage naturel, et l'agent analysera votre demande, sélectionnera les outils les plus pertinents et prendra les mesures qui s'imposent. Par exemple, vous pouvez demander : "Montrez-moi l'activité LOLBin qui a déclenché des anomalies d'apprentissage automatique et résumez les hôtes affectés et leurs scores de risque".
Gardez une longueur d'avance sur les nouvelles attaques grâce à Elastic Security
La chasse aux menaces basée sur des hypothèses est essentielle pour garder une longueur d'avance sur les attaques modernes, mais elle peut s'avérer complexe et chronophage sans les bons outils. Elastic Security combine l'investigation assistée par l'IA, la recherche ES|QL, l'analyse contextuelle, l'apprentissage automatique et la réponse intégrée pour rendre chaque étape plus simple et plus rapide.
Depuis l'émergence d'une nouvelle menace jusqu'à la mise en place d'une réponse opérationnelle, Elastic permet aux analystes de découvrir des signaux cachés, de valider leurs hypothèses et d'agir de manière décisive, transformant ainsi les données brutes en informations et les informations en actions.
Vous souhaitez en savoir plus sur Elastic Security ? Parcourez nos webinaires, nos événements et bien plus encore, ou commencez dès aujourd'hui avec votre essai gratuit.