|
 |
|
|
|
Nous sommes heureux d’annoncer deux nouvelles versions open source qui, ensemble, complètent un pipeline d’opérations de sécurité entièrement automatisé et guidé par l’intelligence, bouclant ainsi la boucle entre la détection et la réponse aux menaces, à la fois basées sur des règles et guidées par l’IA.
Moteur de risque RADAR — un modèle de fusion pondérée fondé sur des principes qui combine les signaux de détection d’anomalies, le risque basé sur les signatures et les scores CTI en temps réel pour générer une réponse automatisée en trois étapes : notification, correction avec création d’un dossier et isolation complète d’un système hôte
Intégration de DECIPHER — un client pleinement opérationnel qui interroge le CTI depuis le MISP, fusionne les scores dans le modèle de risque de RADAR et ouvre automatiquement des cas d’incident Flowintel structurés — aucune intervention manuelle du SOC n’est nécessaire
SONAR — un moteur de détection d’anomalies multivariées pour Wazuh, alimenté par l’algorithme d’apprentissage profond MTAD-GAT, doté d’un système de scénarios basé sur YAML pour des workflows de détection reproductibles et sans code, ainsi que d’un mode de débogage pour les cycles d’entraînement et de détection hors ligne sans instance Wazuh activeles without a live Wazuh instance
DECIPHER — un microservice REST open source permettant l’évaluation automatisée de la gravité et de la fiabilité des alertes de sécurité sur la base d’indicateurs de compromission (IOC), s’appuyant sur la « cyber threat intelligence » MISP et la création priorisée de dossiers Flowintel
PyFlowintel — une bibliothèque Python épurée encapsulant l’API Flowintel, permettant la gestion programmatique des dossiers
Déploiement en une seule commande de la pile complète : DECIPHER + MISP + Flowintel
Ensemble, ces deux versions bouclent le cycle MAPE-K de bout en bout : RADAR détecte une menace → DECIPHER l’enrichit avec des informations de renseignement sur le cybercrime (CTI) en temps réel → un score de risque déclenche la réponse automatisée appropriée → un dossier d’incident Flowintel classé par ordre de priorité est ajouté à la file d’attente de l’analyste. Entièrement open source.
