Les informations sur les menaces sont obtenues à partir d'un processus de traitement des données qui transforme les données brutes en informations contextualisées et orientées vers l'action, destinées au tri des incidents de sécurité. Le processus de transformation suit un cycle en six phases :
Chaque programme de renseignement sur les menaces doit avoir des objectifs et des buts définis, impliquant l'identification des paramètres suivants :
Cette phase permet également aux analystes de sécurité de poser des questions liées aux enquêtes sur les incidents.
Une fois les objectifs définis, les analystes de sécurité rassembleront les données nécessaires pour y répondre. Pour ce faire, les analystes utiliseront les ressources commerciales, privées et open source disponibles. En raison du volume de données auquel les analystes sont généralement confrontés, il est recommandé d'automatiser cette phase afin de laisser le temps de trier les incidents.
Les journaux bruts, les informations sur les vulnérabilités, les logiciels malveillants et le trafic réseau se présentent généralement sous différents formats et peuvent être déconnectés lorsqu'ils sont utilisés pour enquêter sur un incident. Cette phase garantit que les données sont extraites, triées, organisées, corrélées avec les balises appropriées et présentées visuellement dans un format utilisable et compréhensible pour les analystes. Les SIEM sont des outils précieux pour y parvenir et permettent une analyse rapide des données.
Une fois l’agrégation des informations terminée, les analystes de sécurité doivent en tirer des informations. Les décisions à prendre peuvent impliquer :
Différentes parties prenantes organisationnelles consommeront les renseignements dans différentes langues et formats. Par exemple, les membres de la haute direction auront besoin d'un rapport concis couvrant les tendances des activités de l'adversaire, les implications financières et les recommandations stratégiques. Dans le même temps, les analystes informeront plus probablement l’équipe technique des IOC de la menace, des TTP de l’adversaire et des plans d’action tactiques.
La phase finale couvre la partie la plus cruciale, car les analystes s'appuient sur les réponses fournies par les parties prenantes pour améliorer le processus de renseignement sur les menaces et la mise en œuvre des contrôles de sécurité. Les commentaires doivent être une interaction régulière entre les équipes pour que le cycle de vie continue de fonctionner.