À propos du détecteur de menaces

Découvrez les concepts et la terminologie dont vous avez besoin pour utiliser le composant Détecteur de menaces du service de protection d'infrastructure en nuage.

Le composant Détecteur de menaces du service de protection d'infrastructure en nuage collecte et traite les informations sur les menaces potentielles en procédant de la façon suivante :

1. Les informations sont collectées à partir des cibles du service de protection d'infrastructure en nuage.
2. Le détecteur de menaces obtient les informations sur les menaces potentielles auprès du service de renseignement sur les menaces. Il s'agit d'indicateurs de compromis, tels que des adresses IP et des domaines, associés à des serveurs de commande et de contrôle malveillants connus.
3. Ces informations sont exécutées au moyen de modèles conformes au cadre MITRE ATT&CK pour catégoriser les tactiques et techniques potentielles concernées.
4. Ces modèles produisent des "observations" - des cas individuels de comportement malveillant potentiel - qui sont notées pour évaluer la gravité des conséquences d'une telle attaque et la probabilité que cette attaque soit réelle.
5. Les observations sont ensuite rassemblées dans un profil de ressource.
6. Le profil de ressource est noté pour évaluer le risque décrit par la séquence d'observations.
7. Un niveau de risque est affecté, en fonction de la note de risque la plus élevée au cours des 14 derniers jours.
8. Si le niveau de risque devient critique, un problème est généré.

Les pages Surveillance des menaces et Détails de la surveillance des menaces affichent des informations pour chaque profil de ressource répertorié. Pour interpréter les informations affichées, familiarisez-vous avec la terminologie et les concepts clés suivants.

Concepts de haut niveau relatifs à la surveillance des menaces

Ces concepts sont essentiels pour comprendre la surveillance des menaces dans le service de protection d'infrastructure en nuage, en particulier lors de l'utilisation des pages Surveillance des menaces et Détails du service de surveillance des menaces.

• Observation - Cas spécifique de comportement malveillant potentiel détecté par le service de protection d'infrastructure en nuage. Les observations individuelles sont corrélées dans le temps et entre les régions. La collection d'observations connexes est évaluée en fonction de la probabilité qu'elle représente une attaque et du niveau de gravité de cette attaque.
• Type d'observation - Le service de sécurité en nuage détecte plusieurs types d'observation. Voir Informations de référence sur les types d'observation.
• Corrélation : Le service de protection d'infrastructure en nuage collecte des données brutes dans chaque région. Le service de protection d'infrastructure en nuage met ensuite en corrélation les observations connexes entre les régions et calcule une note normalisée pour les observations connexes. Si la note de risque normalisée dépasse un seuil, le service de protection d'infrastructure en nuage déclenche un problème et lui affecte un niveau de gravité et un niveau de confiance.
• Confiance : Un niveau de confiance représente une estimation de la probabilité qu'une observation représente un attaquant réel. Le service de protection d'infrastructure en nuage utilise les mêmes catégories pour les niveaux de gravité et de confiance dans les détails d'observation obtenus :

  La combinaison de facteurs utilisée par le service de protection d'infrastructure en nuage pour déterminer le niveau de confiance est différente selon les types d'observation. Voir les sections "Niveau de gravité" et "Niveau de confiance" pour chaque type d'observation dans la rubrique Informations de référence sur les types d'observation.

• Niveau de gravité : Un niveau de confiance représente une estimation de la probabilité qu'une observation représente un attaquant réel. Un niveau de gravité représente le niveau de menace potentielle représenté par une observation. Il s'agit de la gravité de l'observation, en supposant qu'elle représente un attaquant réel. Le service de protection d'infrastructure en nuage affiche les catégories suivantes pour les niveaux de gravité et de confiance dans les détails d'observation obtenus :

  La combinaison de facteurs utilisée par le service de protection d'infrastructure en nuage pour déterminer le niveau de gravité est différente selon les types d'observation. Voir les sections "Niveau de gravité" et "Niveau de confiance" pour chaque type d'observation dans la rubrique Informations de référence sur les types d'observation.

• Note d'observation - Combine des évaluations de gravité et de confiance, ainsi que d'autres facteurs, pour obtenir une estimation numérique de la gravité de la menace.

  La note d'observation est différente de la note de risque associée aux problèmes.

• Note de risque : Le service de protection d'infrastructure en nuage collecte des données brutes dans chaque région et calcule une note de risque brute pour les observations connexes. Le service de protection d'infrastructure en nuage met ensuite en corrélation les observations connexes entre les régions et calcule une note normalisée pour les observations connexes. Si la note de risque normalisée dépasse un seuil, le service de protection d'infrastructure en nuage déclenche un problème et lui affecte un niveau de gravité et un niveau de confiance.
• Niveau de risque - Basé sur la note de risque maximale des 14 jours précédents. (Critique, Haut, Moyen, Bas, Mineur). Le niveau de risque augmente immédiatement lorsqu'une note de risque élevée est enregistrée. Si aucune autre note de risque élevée n'est enregistrée, le niveau de risque diminue lentement, car il faut 14 jours pour que cette note de risque élevée ne soit plus prise en compte dans le calcul du niveau de risque.

  Pour obtenir la définition de ces niveaux de risque, voir Consultation des problèmes à partir de l'instantané des problèmes.

• Tactique - Du point de vue du cadre MITRE ATT&CK, l'observation doit être classée en tant qu'instance de cette tactique MITRE. Par exemple, Escalade des privilèges ou Accès aux données d'identification.
• Technique - Du point de vue du cadre MITRE ATT&CK, l'observation doit être classée en tant qu'instance de cette technique ou sous-technique MITRE. Par exemple, Cassage de mot de passe ou Exfiltration vers le stockage en nuage.
• Profil de ressource - Collection d'informations observées par le service de protection d'infrastructure en nuage pour des ressources spécifiques qui peuvent faire l'objet d'une attaque, comme l'indique la note de risque dérivée des observations corrélées. Ces données sont notamment les observations, les notes et les ID ressource. Lorsque le service de protection d'infrastructure en nuage surveille les cibles, il crée des profils pour les ressources qu'il observe et génère des observations lorsque des comportements malveillants sont détectés. Actuellement, le profil de ressource est toujours centré sur un utilisateur.

Paramètres signalés pour les observations

Les paramètres suivants sont également surveillés. Certains de ces paramètres apparaissent uniquement dans la page Surveillance des menaces ou Détails de la surveillance des menaces.

• Ressource, ID ressource, Nom de la ressource - Identificateur de la ressource ciblée dans l'observation.
• compartiment - compartiment OCI où se trouve la ressource.
• Cible - La cible du service de protection d'infrastructure en nuage contenant le compartiment OCI.
• Régions - Régions dans lesquelles l'observation est détectée.
• First Detected (Première détection) - Date et heure auxquelles l'observation a été détectée pour la première fois.
• Date de la dernière détection - Date et heure auxquelles l'observation a été détectée pour la dernière fois.
• Note de risque maximale - Note de risque la plus élevée pour un profil de risque particulier.
• Date du risque maximal - Date de la note de risque la plus élevée pour un profil de risque particulier.
• ASN du point d'extrémité - Numéro de système autonome associé à l'adresse IP de point d'extrémité identifiée dans une observation.
• Service de point de fin - Services particuliers utilisés à partir du point d'extrémité identifié dans une observation.
• Type de point d'extrémité - Si l'adresse IP est connue du service Intel de menace pour OCI, elle est déclarée "suspicieuse" et l'adresse IP devient un lien vers les informations de ce service.