Clue : L'engin d'enrichissement
Améliorez l'efficacité de votre centre d'opérations de sécurité avec Clue, la plateforme d'enrichissement de données, conçue pour répondre aux exigences actuelles des centres d'opérations de sécurité.
🚀 Capacités Principales
Clue permet aux développeurs d'outils d'interconnecter leurs applications SOC en enrichissant dynamiquement les indicateurs de sécurité. Les analystes peuvent identifier et corréler rapidement les indicateurs à travers plusieurs outils, pivoter entre les plateformes et exécuter des actions prédéfinies directement depuis l'interface utilisateur.
💾
Enrichissement Contextuel en Temps Réel
Enrichissez automatiquement les indicateurs (IPs, domaines, hachages de fichiers, ports) avec des
évaluations, des opinions et du contexte additionnel provenant de plusieurs sources. Les enrichissements
s'affichent sous forme d'icônes visuelles, de drapeaux de pays et d'info-bulles interactives contenant
des données détaillées de chaque plugin.
🧩
Architecture Modulaire Basée sur des Plugins
L'architecture de plugins extensible permet l'intégration avec un nombre illimité de sources de données.
Chaque plugin fonctionne comme un service indépendant qui communique avec le serveur API central, offrant
une évolutivité et une flexibilité pour s'adapter aux besoins spécifiques de votre SOC.
🎬
Actions Exécutables Spécifiques aux Plugins
Exécutez des actions prédéfinies directement sur les indicateurs sans quitter votre flux de travail.
Pivotez vers d'autres applications, soumettez des données pour analyse, ou déclenchez des workflows
automatisés. Les actions peuvent inclure des formulaires dynamiques pour capturer les paramètres
supplémentaires requis.
🐶
Récupérateurs de Données Riches
Les Fetchers permettent aux plugins de rendre des données enrichies dans plusieurs formats, incluant
Markdown formaté, JSON structuré, graphiques visuels et images. Générez des rapports détaillés, visualisez
des relations complexes ou affichez des captures d'écran de fichiers rendus directement dans l'interface
Clue.
🪄
Intégration Simple dans l'Interface Utilisateur
Intégrez Clue dans n'importe quelle application UI en important le package npm clue-ui, en initialisant
le ClueProvider avec l'URL du serveur API, et en utilisant les composants enrichis ou les hooks React.
Les enrichissements se produisent automatiquement en remplaçant les composants standards par leurs
équivalents enrichis.
🧰
Développement de Plugins Simplifié
Créez des plugins personnalisés en utilisant la bibliothèque Python clue-api et le dépôt de modèles de
plugins. Enregistrez simplement votre plugin avec le serveur central en spécifiant son nom, les types
d'indicateurs pris en charge et l'URL. Développez et déployez des intégrations pour interroger, afficher
et interagir avec vos propres outils.
🔌 Plugins Disponibles
Clue est livré avec plusieurs plugins intégrés pour enrichir vos données de sécurité :
🔍
AssemblyLine
S'intègre de manière transparente avec la plateforme d'analyse de logiciels malveillants AssemblyLine.
Corrèle automatiquement les indicateurs (IP, domaines, hachages) avec les résultats d'analyses passées,
offrant une visibilité immédiate sur les menaces déjà analysées et leurs verdicts.
📜
Transparence des Certificats (crt.sh)
Exploite la base de données crt.sh pour découvrir l'historique des certificats SSL/TLS des domaines. Aide
les analystes à suivre l'émission de certificats, à identifier les infrastructures de hameçonnage
potentielles et à identifier les domaines associés.
📋
Plugin Exemple
Une implémentation de référence complète pour les développeurs. Illustre le cycle de vie complet d'un
plugin, incluant la logique d'enrichissement, les actions personnalisées et le formatage des données,
servant de point de départ idéal pour créer des intégrations internes personnalisées.
🚨
Howler
Se connecte directement à la plateforme de triage d'alertes Howler. Vérifie instantanément si un
indicateur a été vu dans des alertes ou occurrences de sécurité précédentes, et fournit des fonctionnalités
de pivotement en un clic pour passer de l'analyse à l'investigation dans l'interface Howler.
🦠
MalwareBazaar
Exploite l'intelligence communautaire de MalwareBazaar. Enrichit les hachages de fichiers (MD5, SHA1,
SHA256) avec des données d'attribution, des signatures de familles de logiciels malveillants et des
statistiques de détection des fournisseurs pour identifier rapidement les charges utiles malveillantes
connues.
🚪
Recherche de Port
Fournit un contexte instantané pour les ports et services réseau. Mappe automatiquement les numéros de
port à partir d'entrées brutes ou d'URLs vers leurs définitions de service IANA et leurs usages courants,
enrichis d'icônes de service visuelles (ex. SSH, HTTP, FTP) pour une reconnaissance plus rapide.
🛡️
VirusTotal
Déverrouille le contexte mondial des menaces via l'API VirusTotal. Enrichit les IP, domaines, URLs et
hachages de fichiers avec des scores de réputation, des données de propriété géographique (ASN/Pays) et
des attributs détaillés de renseignement sur les menaces pour accélérer la prise de décision.