Clue : L'engin d'enrichissement

Améliorez l'efficacité de votre centre d'opérations de sécurité avec Clue, la plateforme d'enrichissement de données, conçue pour répondre aux exigences actuelles des centres d'opérations de sécurité.

🚀 Capacités Principales

Clue permet aux développeurs d'outils d'interconnecter leurs applications SOC en enrichissant dynamiquement les indicateurs de sécurité. Les analystes peuvent identifier et corréler rapidement les indicateurs à travers plusieurs outils, pivoter entre les plateformes et exécuter des actions prédéfinies directement depuis l'interface utilisateur.

💾 Enrichissement Contextuel en Temps Réel Enrichissez automatiquement les indicateurs (IPs, domaines, hachages de fichiers, ports) avec des évaluations, des opinions et du contexte additionnel provenant de plusieurs sources. Les enrichissements s'affichent sous forme d'icônes visuelles, de drapeaux de pays et d'info-bulles interactives contenant des données détaillées de chaque plugin.
🧩 Architecture Modulaire Basée sur des Plugins L'architecture de plugins extensible permet l'intégration avec un nombre illimité de sources de données. Chaque plugin fonctionne comme un service indépendant qui communique avec le serveur API central, offrant une évolutivité et une flexibilité pour s'adapter aux besoins spécifiques de votre SOC.
🎬 Actions Exécutables Spécifiques aux Plugins Exécutez des actions prédéfinies directement sur les indicateurs sans quitter votre flux de travail. Pivotez vers d'autres applications, soumettez des données pour analyse, ou déclenchez des workflows automatisés. Les actions peuvent inclure des formulaires dynamiques pour capturer les paramètres supplémentaires requis.
🐶 Récupérateurs de Données Riches Les Fetchers permettent aux plugins de rendre des données enrichies dans plusieurs formats, incluant Markdown formaté, JSON structuré, graphiques visuels et images. Générez des rapports détaillés, visualisez des relations complexes ou affichez des captures d'écran de fichiers rendus directement dans l'interface Clue.
🪄 Intégration Simple dans l'Interface Utilisateur Intégrez Clue dans n'importe quelle application UI en important le package npm clue-ui, en initialisant le ClueProvider avec l'URL du serveur API, et en utilisant les composants enrichis ou les hooks React. Les enrichissements se produisent automatiquement en remplaçant les composants standards par leurs équivalents enrichis.
🧰 Développement de Plugins Simplifié Créez des plugins personnalisés en utilisant la bibliothèque Python clue-api et le dépôt de modèles de plugins. Enregistrez simplement votre plugin avec le serveur central en spécifiant son nom, les types d'indicateurs pris en charge et l'URL. Développez et déployez des intégrations pour interroger, afficher et interagir avec vos propres outils.

🔌 Plugins Disponibles

Clue est livré avec plusieurs plugins intégrés pour enrichir vos données de sécurité :

🔍 AssemblyLine S'intègre de manière transparente avec la plateforme d'analyse de logiciels malveillants AssemblyLine. Corrèle automatiquement les indicateurs (IP, domaines, hachages) avec les résultats d'analyses passées, offrant une visibilité immédiate sur les menaces déjà analysées et leurs verdicts.
📜 Transparence des Certificats (crt.sh) Exploite la base de données crt.sh pour découvrir l'historique des certificats SSL/TLS des domaines. Aide les analystes à suivre l'émission de certificats, à identifier les infrastructures de hameçonnage potentielles et à identifier les domaines associés.
📋 Plugin Exemple Une implémentation de référence complète pour les développeurs. Illustre le cycle de vie complet d'un plugin, incluant la logique d'enrichissement, les actions personnalisées et le formatage des données, servant de point de départ idéal pour créer des intégrations internes personnalisées.
🚨 Howler Se connecte directement à la plateforme de triage d'alertes Howler. Vérifie instantanément si un indicateur a été vu dans des alertes ou occurrences de sécurité précédentes, et fournit des fonctionnalités de pivotement en un clic pour passer de l'analyse à l'investigation dans l'interface Howler.
🦠 MalwareBazaar Exploite l'intelligence communautaire de MalwareBazaar. Enrichit les hachages de fichiers (MD5, SHA1, SHA256) avec des données d'attribution, des signatures de familles de logiciels malveillants et des statistiques de détection des fournisseurs pour identifier rapidement les charges utiles malveillantes connues.
🚪 Recherche de Port Fournit un contexte instantané pour les ports et services réseau. Mappe automatiquement les numéros de port à partir d'entrées brutes ou d'URLs vers leurs définitions de service IANA et leurs usages courants, enrichis d'icônes de service visuelles (ex. SSH, HTTP, FTP) pour une reconnaissance plus rapide.
🛡️ VirusTotal Déverrouille le contexte mondial des menaces via l'API VirusTotal. Enrichit les IP, domaines, URLs et hachages de fichiers avec des scores de réputation, des données de propriété géographique (ASN/Pays) et des attributs détaillés de renseignement sur les menaces pour accélérer la prise de décision.