Nous avons couvert la première partie de l'analyse des e-mails de phishing avec PhishTool. Nous avons démontré les domaines clés à prendre en compte lors de l'analyse d'un e-mail et utilisé les artefacts collectés à des fins de renseignement sur les menaces. Cela faisait partie de Salle d'outils de renseignement sur les menaces TryHackMe.
Obtenez les notes de l'équipe bleue
La Threat Intelligence est l'analyse de données et d'informations à l'aide d'outils et de techniques pour générer des modèles significatifs sur la manière d'atténuer les risques potentiels associés aux menaces existantes ou émergentes ciblant les organisations, les industries, les secteurs ou les gouvernements.
Pour atténuer les risques, nous pouvons commencer par essayer de répondre à quelques questions simples :
- Qui t'attaque ?
- Quelle est leur motivation ?
- Quelles sont leurs capacités ?
- À quels artefacts et indicateurs de compromis devriez-vous prêter attention ?
Classifications des renseignements sur les menaces :
Menace Intel vise à comprendre la relation entre votre environnement opérationnel et votre adversaire. Dans cette optique, nous pouvons répartir les informations sur les menaces selon les classifications suivantes :
- Informations stratégiques : Des informations de haut niveau qui examinent le paysage des menaces de l'organisation et cartographient les zones de risque en fonction des tendances, des modèles et des menaces émergentes susceptibles d'avoir un impact sur les décisions commerciales.
- Informations techniques : Examine les preuves et les artefacts d'attaque utilisés par un adversaire. Les équipes de réponse aux incidents peuvent utiliser ces informations pour créer une surface d'attaque de base afin d'analyser et de développer des mécanismes de défense.
- Informations tactiques : Évalue les tactiques, techniques et procédures (TTP) des adversaires. Ces informations peuvent renforcer les contrôles de sécurité et remédier aux vulnérabilités grâce à des enquêtes en temps réel.
- Intel opérationnel : Examine les motivations spécifiques d'un adversaire et son intention de mener une attaque. Les équipes de sécurité peuvent utiliser ces informations pour comprendre les actifs critiques disponibles dans l'organisation (personnes, processus et technologies) qui peuvent être ciblés.
Combien de domaines UrlScan.io a-t-il identifié ?
Quel est le principal registraire de domaine répertorié ?
Quelle est l’adresse IP principale identifiée ?
Quel malware est associé à l'empreinte digitale JA3 51c64c77e60f3980eea90869b68c58a8 sur la liste noire SSL ?
Depuis la page de statistiques sur URLHaus, quel réseau d'hébergement de logiciels malveillants possède le numéro ASN AS14061?
Quel pays est l'adresse IP du botnet 178.134.47.166 associé à selon FeodoTracker?
Sur quelle plate-forme de réseau social l'attaquant tente-t-il de se faire passer comme dans l'e-mail ?
Quelle est l'adresse email du destinataire ?
Quelle est l'adresse IP d'origine ? Supprimez l'adresse IP.
Combien de sauts l’e-mail a-t-il parcouru pour parvenir au destinataire ?
Quel est le nom du client de l'adresse IP ?
Depuis Talos Intelligence, le fichier joint peut également être identifié par l'alias de détection qui commence par un H…
Quelle famille de logiciels malveillants est associée à la pièce jointe sur Email3.eml ?
Vidéo pas à pas
