Netcrook Logo
👤 LOGICFALCON
🗓️ 20 Dec 2025  

Des journaux statiques à la défense intelligente : comment Criminal IP et Palo Alto Networks automatisent la chasse aux cybermenaces

Une nouvelle intégration apporte l’intelligence d’exposition alimentée par l’IA au cœur de la réponse automatisée aux incidents, promettant de transformer la manière dont les équipes de sécurité détectent et neutralisent les menaces.

Dans le monde à haut risque de la cybersécurité, les centres d’opérations de sécurité (SOC) sont submergés par une vague d’alertes, dont beaucoup sont de fausses alarmes ou manquent du contexte nécessaire pour agir rapidement et avec confiance. Désormais, une nouvelle alliance entre Cortex XSOAR de Palo Alto Networks et la plateforme Criminal IP d’AI SPERA vise à redonner l’avantage aux défenseurs - en automatisant le type d’analyse des menaces qui nécessitait autrefois des heures d’efforts manuels, et en la dynamisant grâce à l’IA en temps réel.

En bref

  • Criminal IP, une plateforme de renseignement sur les menaces pilotée par l’IA, est désormais intégrée à Palo Alto Networks Cortex XSOAR.
  • L’intégration permet une analyse automatisée, en plusieurs étapes, et un enrichissement en temps réel des alertes au sein du principal hub d’orchestration du SOC.
  • Les analystes de sécurité peuvent désormais évaluer les IP et domaines suspects à l’aide de signaux comportementaux, de l’historique d’exposition et d’un scoring de menace basé sur l’IA, sans quitter Cortex XSOAR.
  • Ce partenariat reflète une tendance plus large du secteur vers des opérations de sécurité autonomes et pilotées par l’intelligence.
  • Criminal IP collabore déjà avec plus de 40 grands fournisseurs de sécurité et étend sa présence sur les plateformes cloud et XDR.

Au cœur de l’intégration : l’IA rencontre l’automatisation

La réponse traditionnelle aux incidents repose souvent sur des indicateurs statiques - listes de réputation d’IP, données de logs basiques et recherches ponctuelles d’analystes. Mais cette approche est dépassée par les menaces actuelles, en constante évolution, qui exploitent les ports exposés, réutilisent des certificats et se cachent derrière des proxys ou des services d’anonymisation. Criminal IP, développée par AI SPERA, est conçue pour combler ces lacunes en scannant en continu l’internet mondial, en analysant le comportement des actifs et en corrélant des données telles que les informations SSL/TLS, les vulnérabilités CVE et les signes d’abus ou de dissimulation.

Grâce à la nouvelle intégration, Cortex XSOAR peut déclencher un workflow d’analyse en trois étapes - débutant par une recherche rapide, poursuivant avec un scan léger, et, si nécessaire, réalisant une analyse complète de la surface d’attaque. Ainsi, lorsqu’une alerte concerne une IP ou un domaine, le système peut automatiquement récupérer des renseignements contextuels approfondis - transformant un avertissement vague en une évaluation précise de la menace, le tout en quelques secondes et sans intervention manuelle.

Essentiellement, il ne s’agit pas seulement de réagir plus vite. En reliant la télémétrie interne à l’intelligence externe issue de l’internet ouvert, les équipes SOC peuvent révéler des relations cachées, telles que des infrastructures de commande et contrôle (C2), la réutilisation de certificats sur des domaines malveillants ou des historiques d’abus. Résultat : une classification des incidents plus précise, moins d’épuisement chez les analystes et une neutralisation plus rapide des menaces réelles.

À mesure que les cybercriminels exploitent l’automatisation et l’IA, les défenseurs doivent riposter avec les mêmes armes. L’intégration de Criminal IP et Cortex XSOAR marque un tournant, faisant de la sécurité autonome et pilotée par l’intelligence non plus une vision, mais une réalité pour les organisations du monde entier.

Perspectives

Avec l’augmentation du volume des alertes et la sophistication croissante des attaques, les jours de la réponse manuelle basée uniquement sur les logs sont comptés. Comme le souligne Byungtak Kang, PDG de Criminal IP, « le renseignement sur les menaces piloté par l’IA et l’analyse de l’exposition deviennent centraux pour la sécurité des entreprises. » Pour les équipes de sécurité sous pression, l’avenir appartiendra sans doute à ceux qui automatisent - et surpassent - les adversaires à la vitesse des machines.

WIKICROOK

  • SOAR (Orchestration, Automatisation et Réponse de la Sécurité) : Les outils SOAR automatisent les tâches de sécurité courantes, aidant les équipes à répondre plus rapidement et efficacement aux incidents cyber en rationalisant les workflows et les réponses.
  • Renseignement sur les menaces : Le renseignement sur les menaces est une information sur les cybermenaces qui aide les organisations à anticiper, identifier et se défendre contre d’éventuelles cyberattaques.
  • CVE (Vulnérabilités et Expositions Communes) : Un CVE est un identifiant public unique pour une vulnérabilité de sécurité spécifique, permettant un suivi et une discussion cohérents dans l’industrie de la cybersécurité.
  • Gestion de la surface d’attaque (ASM) : La gestion de la surface d’attaque est le processus continu de découverte, de surveillance et de réduction de toutes les voies possibles par lesquelles des pirates pourraient compromettre les systèmes numériques d’une organisation.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
Cybersecurity Threat Intelligence Automation
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news