Modèles d'analyse CTI
Découvrez les frameworks et modèles essentiels pour structurer et analyser efficacement les informations de Threat Intelligence.
Frameworks d'analyse
Les modèles incontournables
Chaque modèle apporte une perspective unique pour comprendre, analyser et communiquer sur les menaces cybernétiques.
Diamond Model
Framework d'analyse structurant les menaces autour de 4 composants interconnectés
Composants principaux :
Adversaire
Infrastructure
Capacité
Victime
Cyber Kill Chain
Modèle séquentiel décrivant les étapes d'une cyberattaque
Phases d'attaque :
- 1Reconnaissance
- 2Weaponization
- 3Delivery
- 4Exploitation
- 5Installation
- 6Command & Control
- 7Actions on Objectives
MITRE ATT&CK
Base de connaissances des tactiques et techniques utilisées par les adversaires
Tactiques principales :
Initial AccessExecutionPersistencePrivilege EscalationDefense EvasionCredential Access+6 autres
STIX/TAXII
Standards pour l'échange et le partage d'informations sur les menaces
Caractéristiques :
- Structured Threat Information eXpression (STIX)
- Trusted Automated eXchange of Intelligence Information (TAXII)
- Standardisation des formats
- Interopérabilité des plateformes
Focus sur le Diamond Model
Analyse détaillée des événements
Méta-caractéristiques
- Timestamp: Temporalité des événements
- Phase: Étape de l'attaque
- Result: Résultat de l'action
- Direction: Sens de l'attaque
Avantages
- Structure claire pour l'analyse d'événements
- Identification des relations entre composants
- Facilite la corrélation d'événements
- Améliore la communication entre équipes
Explorez les plateformes CTI
Découvrez les outils et plateformes qui implémentent ces modèles pour automatiser votre analyse de Threat Intelligence.