< Back
Enhancing Cyber Defence with Threat Intelligence in CSOC

Tags:

TCS BELUX TCS BELUX newsletter Detect and respond
24 septembre 2025

Renforcer la cyberdéfense grâce à la Threat Intelligence dans le CSOC

Préambule

Dans le monde dynamique de la cybersécurité, les analystes du SOC (Security Operations Centre) sont en première ligne, travaillant sans relâche pour protéger les organisations contre une liste toujours croissante de menaces numériques.

La Cyber Threat Intelligence (CTI) est un élément essentiel de cette défense, fournissant aux analystes les informations dont ils ont besoin pour détecter et répondre efficacement aux attaques, tout en facilitant un apprentissage continu à partir des cyberattaques afin de passer d’une approche réactive à une approche proactive.

Pour les analystes L1 et L2, ce flux de Cyber Threat Intelligence s’intègre directement dans leurs opérations quotidiennes, les aidant à garder une longueur d’avance sur les cyberadversaires. Voici comment nous intégrons la threat intelligence dans notre flux de travail et pourquoi elle est si cruciale.

Introduction

Au cœur de la threat intelligence se trouvent la collecte, l’analyse et l’utilisation d’informations relatives à des menaces cyber potentielles ou en cours. Dans un environnement SOC, ce processus inclut l’intégration des Indicateurs de Compromission (IoC) dans les systèmes de threat intelligence (CTI) afin d’enrichir les capacités de détection, tandis que les Indicateurs d’Attaque (IoA) sont exploités pour développer des cas d’usage et identifier des comportements suspects à l’aide d’outils de détection et d’analyse, souvent avec des workflows automatisés pour optimiser la réponse.

▪️ Indicateurs de compromission (IoC) : Ce sont des artefacts ou des preuves suggérant qu’un système a été compromis, tels que des adresses IP, des domaines, des URL ou des empreintes (hashes). Par exemple, une adresse IP suspecte impliquée dans l’exfiltration de données ou un domaine associé au serveur C2 d’un botnet.

▪️ Indicateurs d’attaque (IoA) : Il s’agit de comportements ou de schémas indiquant une attaque potentielle ou en cours, comme des tentatives de connexion inhabituelles, des pics anormaux de trafic réseau ou des modifications suspectes de fichiers.

En outre, nous travaillons avec les Techniques, Tactiques et Procédures (TTP), qui décrivent les méthodes utilisées par les attaquants, telles que définies dans des cadres comme MITRE ATT&CK. Le lien entre la CTI et les TTP est essentiel pour comprendre les comportements des attaquants et construire des défenses efficaces.

Cyber Threat Intelligence Feed-XLM : La mise à jour quotidienne

La threat intelligence évolue en permanence. Chaque jour, nous recevons des flux actualisés contenant de nouveaux IoC provenant de diverses sources, notamment des données d’analyses forensiques pour nos clients, des rapports de fournisseurs de sécurité, différents CSIRT, ainsi que des plateformes communautaires comme MISP (Malware Information Sharing Platform) et des plateformes de partage de phishing, en plus de centaines d’autres ressources externes.

Cyber Threat Intelligence Feed-XLM est intégré à nos systèmes SIEM (Security Information and Event Management), ce qui nous permet de détecter les attaques potentielles en temps réel.

L’un des principaux avantages de ce processus est la capacité d’utiliser les IoC d’un client (partage) pour en protéger d’autres. Lorsqu’un client est ciblé, nous exploitons les renseignements issus de cet incident pour protéger un autre client. C’est comme apprendre des mésaventures des autres : ce qui nuit à l’un peut permettre d’éviter une attaque chez un autre.

Eyeguard-Lens, composant de l'offre Cyber Threat Intelligence Feed-XLM : l'outil de Threat Intelligence tout-en-un

Pourquoi chercher sur plusieurs plateformes alors qu’Eyeguard-Lens regroupe tout dans une interface conviviale ? En intégrant des sources externes telles que VirusTotal, URLAbuse, AbuseIPDB et WHOIS avec la CTI interne, Eyeguard-Lens offre une vue d’ensemble complète de la threat intelligence sur une seule page. Cette agrégation simplifie le processus, permettant aux équipes SOC d’accéder plus rapidement et plus efficacement aux données critiques. L’outil inclut également la fonctionnalité DNS/Passive DNS, que nous aborderons au point suivant.

Dans le SOC de Thales, Eyeguard-Lens est essentiel pour évaluer la réputation des URL et des adresses IP, et pour identifier les activités potentiellement malveillantes. Sa capacité à visualiser les relations entre les IP et les domaines associés améliore l’analyse et la réponse aux incidents. En fournissant une analyse détaillée des Indicateurs de Compromission (IoC), y compris les IP et domaines malveillants liés à des cybermenaces, Eyeguard-Lens améliore la prise de décision et renforce l’efficacité du SOC.

DNS & Passive DNS: suivi des données historiques

Un autre élément essentiel de la threat intelligence est constitué par les données DNS et Passive DNS. Le Passive DNS sert essentiellement d’historique, enregistrant la manière dont les noms de domaine ont été résolus vers des adresses IP spécifiques au fil du temps. Cela nous permet de savoir quand un domaine a été vu pour la première et la dernière fois, ainsi que les adresses IP auxquelles il a été associé.

En intégrant ces données à des outils comme TCS-CERT Passive DNS, nous améliorons notre capacité à surveiller l’activité des domaines et à détecter des comportements suspects. L’outil TCS-CERT Passive DNS stocke non seulement les données DNS des clients, mais intègre également de l’OSINT pour faciliter la rétro-hunting des Indicateurs de Compromission (IoC), la détection de phishing et la gestion des alertes.

Par exemple, lorsqu’un utilisateur accède à un domaine, TCS-CERT Passive DNS récupère des informations sur l’IP de destination à partir de différentes sources, telles que les logs proxy ou DNS. Cela nous donne une vision plus claire des domaines consultés sur différents réseaux, ce qui nous aide à identifier des connexions potentiellement malveillantes et d’autres menaces de sécurité.

La carte « Customer Hits » fournit des informations précieuses en suivant le nombre de requêtes effectuées par les clients SOC sur la base des données Passive DNS (PDNS). Cette fonctionnalité est cruciale pour identifier les menaces émergentes et comprendre les schémas d’attaque susceptibles d’affecter différents clients.

Threat Hunting: parce que traquer les menaces est plus palpitant qu'une chasse au trésor !

Il s’agit d’un processus proactif qui consiste à parcourir les logs pour identifier des activités suspectes ou malveillantes ayant pu échapper aux règles de détection automatisées ou aux cas d’usage existants.

L’objectif est de repérer des schémas, des comportements inhabituels ou des menaces cachées que les alertes traditionnelles pourraient avoir manquées, en particulier les attaques avancées ou furtives. Les threat hunters analysent les logs issus de sources telles que le trafic réseau, les événements sur les endpoints et les journaux d’authentification, à la recherche d’anomalies ou d’indicateurs de compromission (IoC) susceptibles de révéler une attaque passée inaperçue.

Retro Hunting: le pack Threat Hunting, un retour en arrière - attraper les menaces qui pensaient pouvoir passer entre les mailles du filet

Toutes les menaces ne sont pas détectées en temps réel. Parfois, il est nécessaire de revenir sur des données historiques pour découvrir des menaces précédemment passées inaperçues : c’est ce que l’on appelle le retro hunting. Notre outil interne est spécialement conçu à cet effet. Lorsqu’un nouvel IoC est identifié, nous analysons les activités passées afin de vérifier s’il y a eu des correspondances sur les réseaux de nos clients. Si une correspondance est trouvée, une alerte est déclenchée, ce qui nous permet de traiter la menace de manière rétroactive.

Le retro hunting est particulièrement utile car les IoC sont souvent reçus après qu’un incident a eu lieu. En analysant les données de télémétrie sans surcharger nos systèmes SIEM, nous pouvons détecter des menaces qui auraient pu passer inaperçues.

L’été dernier, grâce à une démarche proactive de retro hunting, nous avons identifié un utilisateur tentant d’acheter des billets pour les Jeux Olympiques 2024 sur une page de phishing. Nous avons immédiatement contacté le client, vérifié si une transaction avait été effectuée, et nous nous sommes assurés qu’aucune information personnelle n’avait été compromise.

Conclusion

La threat intelligence est un élément essentiel des opérations quotidiennes des analystes SOC L1 et L2. Elle nous permet de détecter, d’investiguer et de répondre plus efficacement aux cybermenaces en combinant l’analyse en temps réel et l’analyse rétroactive, afin de garder une longueur d’avance sur les attaquants. Des outils comme Eyeguard-Lens, TCS-CERT Passive DNS et Threat Hunting fournissent des informations cruciales sur la nature de ces menaces, qu’il s’agisse d’identifier des IP ou des domaines malveillants ou d’analyser les TTP. En intégrant la Cyber Threat Intelligence (CTI) à nos systèmes SIEM et en mettant constamment à jour nos flux, nous nous assurons qu’aucune menace ne passe inaperçue et qu’aucun client n’est laissé sans protection.

Dans ce champ de bataille en constante évolution, l’information reste la meilleure des défenses.

Contactez-nous

En savoir plus sur ce sujet

cards image

Beyond the SOC as a detection center: holistic cybersecurity operations in the coming age
cards image

What is threat Hunting ?

cards image

Cyber Threat Intelligence Ep 2 - Nicolas talking about the Context and Strategy office