Les fichiers malveillants continuent de constituer une menace importante pour les organisations ! SonicWall a signalé plus de six milliards d’attaques de logiciels malveillants en 2023.
Pour aider les organisations à se préparer et à anticiper ces menaces, Corelight a introduit une intégration avec YARA qui offre un niveau d’inspection plus approfondi des fichiers sur les réseaux d’entreprise tout en aidant les équipes de sécurité à consolider leur ensemble d’outils dans le processus.
L’idée de cette intégration est née d’un retour client Corelight qui souhaitait s’éloigner de son outil d’analyse de fichiers existant et consolider les fonctionnalités requises au sein des capteurs Corelight.
L’expérience ultérieure de Corelight a confirmé la valeur de l’analyse de fichiers sur le réseau.
En fournissant des fonctionnalités d’analyse de fichiers statiques optimisées par YARA via les capteurs Corelight, cela aidera les clients à améliorer leurs taux de détection .
Qu’est-ce que YARA ?
YARA est un outil d’analyse de fichiers open source qui analyse les modèles binaires, les comportements et d’autres caractéristiques.
Les chasseurs de menaces peuvent créer des descriptions de familles de malwares ( règles YARA ) et déclencher des alertes lorsque les fichiers correspondent à ces caractéristiques.
Les règles YARA inspectent le contenu des fichiers et pas seulement les hachages, ce qui les rend plus résistants aux modifications apportées par les auteurs de malwares dans le but d’échapper aux mécanismes de détection basés sur le hachage.
Les règles YARA peuvent être téléchargées sur un capteur Corelight et appliquées aux fichiers observés dans le trafic réseau.
Roots open source
Similaire à Zeek® et Suricata® , deux éléments fondamentaux de la solution Open NDR de Corelight , YARA est une technologie open source qui s’appuie sur une large communauté de recherche qui élabore et partage des règles dans le but de protéger les organisations contre les cybermenaces.
YARA complète parfaitement ces solutions et s’aligne sur la philosophie fondamentale et la stratégie open source de Corelight.
Avec YARA, les clients Corelight pourront augmenter leurs taux de détection en bénéficiant d’une meilleure visibilité sur les fichiers et de la possibilité d’inspecter le contenu des fichiers pour détecter les menaces connues à grande échelle.
Grâce à l’intégration des preuves supplémentaires fournies par Corelight, notamment les journaux Zeek et Suricata, les équipes de sécurité bénéficient d’une meilleure visibilité sur l’activité au sein de leur réseau et peuvent réduire les faux positifs .
Fonctionnalité unique parmi les fournisseurs NDR, l’intégration de la plateforme Corelight Open NDR et de YARA aide les équipes de sécurité à :
- Traitez les nouvelles menaces. YARA est flexible en matière de création de règles. Bien que des règles soient facilement disponibles auprès de la communauté open source, les organisations peuvent également créer des règles YARA personnalisées en fonction des besoins de sécurité de leur organisation. Si un chasseur de menaces sait ce qu’il veut rechercher, il peut rechercher une règle existante ou créer la sienne pour détecter les menaces émergentes et rechercher les vecteurs d’attaque pour voir s’ils se trouvent dans le réseau de son organisation.
- Consolider les outils : Un certain nombre d’organisations de sécurité utilisent des composants hérités d’analyse de fichiers. Cependant, bon nombre de ces outils sont des boîtes noires, qui n’offrent aucune visibilité sur les raisons pour lesquelles les fichiers sont signalés, car le logiciel est propriétaire. Corelight intègre l’analyse statique des fichiers sur ses capteurs, éliminant ainsi le besoin de logiciels supplémentaires qui analysent les fichiers à la recherche de modèles associés aux logiciels malveillants. Et comme les règles sont créées par des chasseurs de menaces, Corelight offre une visibilité complète sur les détections déclenchées.
Alors, comment ça marche ?
- Sélectionnez les types de fichiers. Une fois cette option activée, vous pouvez déterminer les fichiers que vous souhaitez que les règles YARA analysent. Vous pouvez choisir parmi différents types MIME à inspecter, tels que les documents Office ou les fichiers PDF.
- Définir des règles. Les règles peuvent être téléchargées et gérées via le gestionnaire de flotte. Dans le Fleet Manager , vous pouvez télécharger un fichier texte brut pour définir la règle, y compris le nom de la règle, les chaînes, les conditions et les métadonnées. Vous pouvez également modifier ou personnaliser la règle.
- Analyse. La règle analysera les fichiers observés dans le trafic réseau et créera un journal de notification lorsqu’il y a une correspondance de fichier. Ces règles peuvent être envoyées sous forme d’alertes à Corelight Investigator ( à venir au premier trimestre ), à une solution XDR ou SIEM pour obtenir une réponse.
La plateforme Corelight Open NDR et YARA
Corelight transforme l’activité réseau et cloud en preuves que les équipes de sécurité utilisent pour rechercher proactivement les menaces, accélérer la réponse aux incidents, obtenir une visibilité complète du réseau et créer des analyses puissantes. La plateforme Corelight Open NDR combine des détections réseau dynamiques, l’IA , la détection d’intrusion (IDS), la surveillance de la sécurité réseau (NSM) et la capture de paquets (PCAP) dans un seul outil de sécurité optimisé par les technologies propriétaires, open source Zeek et Suricata.
L’intégration de la plateforme Corelight Open NDR avec YARA permet aux équipes de sécurité de créer des règles YARA pour la détection basée sur des modèles qui analysent rapidement de grandes quantités de fichiers pour faciliter l’identification des logiciels malveillants, la recherche proactive des menaces via des IoC et l’analyse automatisée des logiciels malveillants, aidant ainsi les équipes de sécurité à garder une longueur d’avance sur les menaces omniprésentes qui pèsent sur leurs organisations.
Pour en savoir plus sur les avantages de cette intégration, lisez la présentation de la solution Corelight .
Source : CoreLight
Pour plus d’informations concernant les solutions
